Cuando la Calidad empieza con un lápiz y un papel

Recuerdo una reunión donde asistimos el recién llegado grupo de ingeniería y los directivos de la compañía que nos iba a acoger. Externalizados, proveníamos del mundo de la ingeniería para la fabricación de equipos de redes de datos y aterrizábamos en otro completamente diferente y ajeno a nuestras experiencias, el mundo de la consultoría.
Entre la cortés bienvenida y las edulcorados halagos pronunció un breve discurso el Director de Calidad. Eran unos años donde este tipo departamento, además de tener entidad propia, eran dirigidos por un gerente prevalente.
Como decía, el director de calidad dejó la siguiente frase al final de su discurso, como recomendación o tendencia exigente para conseguir un trabajo de calidad:

"Escribe lo que vas hacer y haz lo que has escrito".

Contrariamente al mensaje, el hecho de escribir, documentar, no es una de las tareas a ejercer en el trabajo del día a día.

Pero analicemos la frase detenidamente y qué relación tiene con la consecución de tan deseada calidad.

"Escribe lo que vas hacer" Esta frase esconde que, tras la acción de teclear un fichero txt o garabatear un papel, lo que realmente se hace es reflexionar y desarrollar la propia planificación del proyecto. Línea tras línea se enumeran y desglosan las diversas tareas, se organizan y ordenan en el tiempo. Los esquemas y diagramas visualizan relaciones entre ellas, afloran las dificultades y se pueden prever los escollos. El poyecto, aunque sea brevemente perfilado en unas notas, hace que pueda ser mejor compartido con otros colaboradores, comunicado y discutido con ellos.

Las segunda frase complementa la primera. "Haz lo que has escrito" cierra el trabajo. Es una forma de garantizar que el proyecto se ha ejecutado según se planificó. Si se han realizado cambios y modificaciones se puede contrastar con la idea original. Establecer diferencias, evaluar el resultado de los cambios y en definitiva, aprender de la experiencia.

En cualquier caso, esta sentencia del director trata de evitar la improvisación, o al menos, está forma de resolver los problemas debe ser una situación excepcional y nunca la forma habitual de trabajar.

Después de aquella tarde no volvimos a saber más de aquel director ni su departamento.

Luis. F. Real

Lectura de verano: "Alan M. Turing. Más que un enigma" de Sara Turing

El paseo anual por la Feria del Libro en el Parque del Retiro de Madrid me deparó esta sorpresa. Adquirí la lectura para los dias estivales, otra biografía de Alan Turing que añadir a mi colección.  Esta vez, la autora es su madre, Sara Turing. A la obra se suma unos capítulos finales escritos por el hermano mayor.
Evidentemente, los hechos narrados tienen el sesgo maternal. A esa falta de objetividad responde John, el hermano, puntualizando algunos hechos y vivencias llevándolos hacia el otro extremo. A veces destila cierto resentimiento, posiblemente por la tergiversación de las historias que cuenta su madre. Pero no hay que verter reproches a Sara por la deformación de los recuerdos. Por el contrario, hay que ponerse en su lugar, y tratar de comprender, como madre, cómo tuvo que afrontar el luctuoso desenlace de su hijo.
La obra se suma como una pieza mas al puzle de la enigmática personalidad del matemático; sabiendo además, que nunca seremos capaces de completar.

L.F. Real

El Tribunal Constitucional sentencia contra los datos recopilados por partidos políticos

Este 22 de mayo, como no podía ser de otro modo, el Tribunal Constitucional ha sentenciado que el artículo 58.1 bis de la Ley Orgánica de Régimen Electoral General que se incluyó a través de la aprobación de Ley Orgánica de Protección de Datos Personal y Garantías de Derechos Digitales es inconstitucional y nulo.

En entradas anteriores dedicamos breves líneas al significado de dicho artículo y por qué no tenía cabidaen la protección de datos personales.
Consultar La polémica nueva Ley de Protección de Datos Personales


Las Notas de prensa del Tribunal:

Nota informativa

Recurso de inconstitucionalidad interpuesto por el Defensor del Pueblo

Excursión al Mundo Hacker

Aquel día, el refrán "en abril aguas mil" cumplia su pronóstico. Fue un dia muy lluvioso y el resguardo para el día estavo en el centro de ocio y cines Kinépolis, donde se celebró Mundo Hacker.

Por hacer un resumen como recordatorio, estas fueron las intervenciones.

Bienvenida a los asistentes. Desirée Rodriguez & Víctor Aznar

KEYNOTE: Power Nap y vamonos!. Antonio Ramos

De Verano a primavera en los servicios de Red Team. Mildrey Carbonell Castro, Head of Audit Department S21sec

Lo que Europa está dispuesta a hacer por la ciberseguridad. ¿Y tu?. Juan Zafra,
Director Análisis, Inteligencia y Comunicación. Consultoría estratégica

KEYNOTE: Utilizando metodología de Password Cracking para algoritmos rápidos como NTLM y MD5. Pedro Alexander Garcia.

APTs en la cadena de suministro: cuando la logística se te vuelve en contra. Dani Creus
Senior Security Researcher (GReAT – Kaspersky Lab)

Democracia hackeada: Ciberseguridad, redes sociales y manipulación de procesos electorales en la nueva era digital
Ofelia Tejerina, Abogada. Premio LegalTech 2019 – Confilegal. Secretaria General Asociación Internautas
Borja Adsuara, Abogado Experto en Derecho Digital
Antonio Vargas, Public Policy Manager en Google
Carlos Loureiro, Hacker y Criminólogo
Modera: Daniel de Blas, periodista GlobbTV

Enlace a Mundo Hacker Day
Y no hay que perderse el canal GlobbTV Globbsecurity

L. F. R.

Circular de la AEPD sobre el tratamiento de datos por los partidos políticos

Tal como recogimos en un artículo anterior, la nueva Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales se estrenaba con una gran polémica. Dicha ley añade el artículo 58bis a la Ley Orgánica de Régimen Electoral General.

(para recordar la polémica 3 Temas TIC: "La polémica nueva Ley de Protección de Datos Personales")

Con el fin de aclara ciertas dudas y aportar tranquilidad a los ciudadanos, la Agencia Española de Protección de Datos se ha visto obligada a redactar una Circular. La Circular 1/2019 trata de esclarecer criterios sobre cómo debe ser aplicado el artículo 58bis. Esta es la nota de prensa de la propia Agencia al respecto:

La AEPD publica la Circular sobre el tratamiento de datos personales relativos a opiniones políticas por los partidos

La circular publicada en el BOE:

Circular 1/2019 de la Agencia Española de Protección de Datos

Tal como hice en la entrada anterior, dejo los comentarios que los expertos han matizado sobre la Circular. Ellos realizan un análisis más lúcido del que pueda realizar yo.

Se publica la circular de la AEPD respecto del tratamiento de opiniones políticas sobre los partidos políticos

Este polémico artículo 58bis en la ley de Régimen Electoral General y la injerencia de los partidos políticos en los datos personales no ha hecho nada más que empezar. En los próximos meses podemos comprobar como se manifiesta en los procesos electorales.

L. F. Real

La Política de Actualización del Software (y V)

En esta parte voy a dedicar unas líneas a explicar los contenidos más importantes que deben figurar en el documento de política de actualización del software. Algunos son imprescindibles pero otros serán solo informativos.

Información para el documento

Disponemos de la siguiente información.

• Inventario de las aplicaciones informáticas de la organización, sus funciones importancia para el negocio.
• Los ciclos de vida que los fabricantes dan a sus productos, el calendario (roadmap) de lanzamientos y la duración de la fase de mantenimiento.
• Las restricciones que impone el tipo de negocio a los cambios del software.
• Los contratos de mantenimiento con terceras empresas y sus implicaciones en estos cometidos.

Con la información anterior construiremos las directrices de la política. Ésta, por un lado, será la base para desarrollar los procedimientos técnicos, escenarios de pruebas, test de verificación, etc. Por otro lado, será el proceso de la gestión del cambio quien asuma la acción dentro de la gestión del servicio y cómo afecta a éste (sirva como referente lo que recomienda ITIL al respecto).

Contenido destacado en el documento

En el documento se incluirá los siguientes apartados principales.

• El alcance del documento. Enumera qué software, equipos y sistemas son los destinatarios de la política descrita en el documento. La compañía selecciona según su funcionamiento conjunto, modelo de equipos, servicios en los que interviene, etc.
• Se dedicará un apartado a explicar las reglas que rigen la nomenclatura y numeración de las versiones que se utiliza en el documento. Estas normas son comunes en toda la compañía y están autorizadas y aprobadas por la dirección. Es conveniente explicar la relación entre ésta y la utilizada por los fabricantes para evitar la confusión.
• Es interesante recoger una una breve explicación del ciclo de vida del pruducto. Puede añadirse en un anexo al final del documento los enlaces a las páginas web de los fabricantes.
• Destacar la situación actual del software de la compañía con respecto a su ciclo de vida.
• Lista de tareas previas que deben ser verificadas (“checklist”) antes de iniciar la propia   actualización. Todas tendrán sus procedimientos descritos para ejecutarlas. Por ejemplo:

         o    Verificación de los requisitos hardware y software necesarios para la correcta instalación.
         o    Backup de todo firmware, sistemas operativos, programas, aplicaciones y sus respectivas configuraciones que puedan verse afectadas.
         o    Documentos de los fabricantes de los procedimientos de actualización de sus productos. Disponibles para su consulta.
         o    Comprobación de equipamiento adicional: comunicación, servidores, acceso remoto, copias de seguridad. Aquí quisiera hacer un inciso importante. Si un equipo remoto está en un acceso difícil habrá que considerar el posible desplazamiento de técnicos para solucionar problemas in situ.
         o    Procedimientos de vuelta atrás en caso de poder realizarse la instalación o recuperar las funcionalidades.
         o    Otras considereaciones dependientes de cada sistema.

Estos dos últimos apartados los voy a dedicar en las siguientes secciones dada su importancia en la política, puesto que es la razón de ser de la misma, el motivo por el cual se redacta.

-    Criterios para autorizar la actualización de versiones.
-    Proyecto de actualización

Criterios para autorizar la actualización

Para autorizar la actualización del software se realizará teniendo en cuenta una serie de criterios. Los criterios más destacados son los siguientes:

• Consecuencia del seguimiento de la versión lanzada por el fabricante:

         - Aparición de nuevas funciones que desee implantar la compañía.
         - Determinados equipos se actualizan periódicamente, y esta versión es una de ellas.

• La versión aporta corrección de errores que afectan a las configuraciones usadas.
• El fabricante impone un cambio de versión que es imprescindible:

         - Actualización de Urgencia para la corrección de errores graves.
         - Eliminación de una versión cuando alcanza el fin del ciclo (End of Live).
         - División de una versión en dos líneas diferentes con evolución divergente.

Podemos comprobar que todos son impuestos por el fabricante excepto el primero. Se deja la opción de no actualizar a una versión lanzada. Puede ocurrir que en futuras versiones haya que instalar todas las anteriores. La decisión de actualizar o no una versión, un paquete o un parche, será asumida por la propia compañía, estará justificada y autorizada.

Proyecto de actualización

El proceso de actualización se tratará como un proyecto, más o menos complejo, de la compañía. Como tal, debe cubrir todos los requisitos para su realización. Depederá del tipo de software, sus características e importancia. El proyecto no será el mismo para la instalación de un parche en un sistema operativo en unos pocos ordenadores que la renovación de una aplicación crítica e insustituible, que será clave en la pervivencia del negocio.

El proceso debe superar una serie de fases hasta que la nueva versión alcance la funcionalidad completa sobre todos los equipos y sistemas del entorno de producción que la deban incorporar. Las fases de un despliegue de una actualización las podemos resumir en las siguientes.

1. Elección de la versión que se va actualizar. La primera tarea es la lectura de los manuales o boletines sobre las características de la versión lanzada. La segunda será la consulta de las dudas no resueltas con los fabricantes y los proveedores. Debemos obtener la información suficiente para saber si debemos afrontar o no la actualización de una nueva versión. En esta fase se analizan los criterios expuestos anteriormente. El resultado será un informe motivado con la autorización o no de la nueva versión.
2. Pruebas de validación. Esta fase se realiza en un entorno de pruebas. La ejecución de un Plan de Pruebas verificará la instalación y el correcto funcionamiento. Esta fase podrá incorporar pruebas de rendimiento, carga de trabajo, estrés, etc. y todas aquellas que se consideren oportunas para comprobar la solidez del software. El resultado de esta fase es la homologación de la nueva versión; es decir, que ésta se podrá trasladar a los equipos y sistemas del entorno de producción con los cambios de configuración o ajustes necesarios.
3. Instalación de la versión homologada en equipos de producción de acuerdo con una Prueba Piloto. Habrá que tener en cuenta los periodos de mantenimiento para actuar sin afectar a los servicios. La Prueba Piloto seleccionará los primeros equipos sobre los que se probará. Tendrá encuenta los escenarios más variados y complejos. La prueba realizará una monitorización exhaustiva de los equipos y sistemas. Determinará sobre que parámetros se efectuará, los rangos de las medidas y los umbrales para la detección de anomalías. Este seguimiento se realizará durante un tiempo: dias, semanas, meses ...
4. La versión actualizada se Certifica que funciona en el entorno de producción.
5. Despliegue de la versión certificada en todos los equipos. La Prueba Piloto puede exigir una monitorización similar a otros equipos o sistemas durante otro periodo.

Próximos pasos y final

El documento de política debe adecuarse a los distintos tipos de sistemas que tiene la compañía. 

Como últimas palabras expongo aquellas que mencionó un director de Calidad de una importante consultora internacional:

" Escribe lo que vas hacer, y haz lo que hayas escrito "

Resume un trabajo pensado, elaborado, concienzudo y previendo las posibles incidencias que puedan ocurrir. Condiciones que no siempre se imponen en el mundo actual

 L. F. Real

La Política de Actualización del Software (IV)

En la política de actualización del software se deben tener en cuenta algunos elementos importantes. En la segunda parte vimos el inventario del software de la compañía y el ciclo de vida con ejemplos en la tercera. En esta cuarta parte vamos a comprobar cómo las características del negocio pueden imponer otras condiciones a la hora de instalar actualizaciones.

Las necesidades del negocio

 

No todos los negocios tienen los mismos requisitos y necesidades con respecto a las actualizaciones del software. Vamos a ver unos ejemplos.

Las compañías de servicios de viajeros ferroviarios o aéreos tienen las fechas de vacaciones estivales o navideñas como periodos prohibidos para realizar cualquier cambio o modificación en las aplicaciones. El volumen de operaciones se incrementa considerablemente. El trabajo diario se concentra en las operaciones del servicio a los viajeros. Se evita aumentar la carga de trabajo de los operarios así como añadir otros riesgos inherentes a los nuevos productos.

Estas condiciones impiden realizar las actualizaciones periódicas siguiendo el calendario o “roadmap” de los fabricantes software, tal como vimos en la segunda parte. Cabe esperar que pasadas las fechas restrictivas, se acumulen los parches y las versiones disponibles que hayan salido durante ese periodo de tiempo. Algunos serán más necesarios e importantes que otros, habrá que decidir cuáles se instalarán, cuándo y cómo.

Otro caso. Las empresas de telecomunicaciones tamibién tienen sus limitaciones. Quisiera destacar las que dependen de los equipos electrónicos. Sirva como ejemplo un proveedor de servicios de fibra. Los nodos de la red están constituidos por el misma familia de modelos de routers. Cada router tiene redundancia basada en la doble unidad de control, manteniendo una activa y la otra en reserva. Esto permite mantener el router funcionando mientras primero se instala la nueva versión firmware en la unidad de reserva. Cuando la reserva está preparada, conmuta para ser la activa y tomar el control. La descarga del nuevo firmware ahora se realiza en la otra unidad. Finalmente, ambas unidades están actualizadas sin que haya habido cortes en el tráfico de datos de los clientes.
No obstante, a pesar de la redundancia de los equipos, la empresa debe ser muy cauta a la hora de permitir las actualizaciones del firmware. La red está formada por cientos de routers que deberían ser actualizados cada cuatro, seis o doce meses, según recomiende el fabricante. En estas condiciones hay que tener en cuenta:

• La descarga del firmware a los routers se realiza de forma remota a través de la propia red. Esto afecta al rendimiento y la capacidad de la propia red. Pudiendo alterar el tráfico de clientes
• Durante el proceso de actualización, las unidades de control dejan de ser redundantes. Los routers quedan más vulnerables a otros eventos que puedan ocurrir y afecten al rendimiento de la unidad de control activa.

Por lo tanto, se requiere un estudio más riguroso sobre cómo y cuándo actualizar el firmware de los equipos de red y las consecuencias que pueda tener este hecho en el servicio a los clientes.
La manera en que se establece un calendario, una lista de equipos o grupos de ellos para la actualización del software deberán ser las particularidades que se deben incluir en las políticas de actualización.

 

Actualizaciones de seguridad

 

Hemos visto, cómo según el tipo de negocio, las actualizaciones se pueden posponer unos meses. No obstante no se pueden evitar o retrasar aquellas versiones o parches que solucionan problemas de seguridad. Los fabricantes suelen indicar cuáles son. Es posible que haya que instalar durante las fechas vacacionales, los días de máxima carga de trabajo o en muchos equipos al mismo tiempo. Estas situaciones deben estar previstas, analizando el riesgo y la gravedad de las consecuencias dependiendo de la decisión que se tome.

 

Impacto en los servicios de TI

 

 En los ejemplos anteriores sobre los negocios hemos dado un salto cualitativo. Hemos pasado desde un ámbito más técnico hacia el impacto en el ámbito de los servicios. Será la gestión de servicios la que decida en estos casos y entramos de lleno en los proceso de gestión de cambio, tal como entiende ITIL. Pero estas cuestiones exceden las notas de este artículo.

 

Mantenimiento externalizado

 

Muchas compañías tienen el mantenimiento externalizado con empresas que ofrecen estos servicios. En la SLA deben constar cláusulas respecto a las actualizaciones. Todo lo expuesto a través de los casos anteriores deberá tenerse en cuenta en los contratos de mantenimiento y estar descrito de forma clara en las políticas de actualización.

L. F. Real