Homologación de seguridad en Sistemas Operativos

p, li { white-space: pre-w Me gustaría comentarles esta idea….
Desde una institución u organismo público o privado, con carácter independiente, se realiza para sistemas operativos un test tipo Euro NCAP Se me ocurre INTECO como primera opción, puesto que han dado pasos en el ámbito de los test de seguridad de productos. Podría colaborar con ASOLIF, por ejemplo.
Se trataría de test homologables (estándar) de seguridad de Sistemas Operativos.
Definiendo una serie de tests estándar (este proceso debe ser abierto, para que la propia industria participe) así como unas medidas que homologuen laboratorios (igual), se pondrían las cartas sobre la mesa sobre las medidas de seguridad que aplican o no los sistemas operativos actuales, en función de criterios ampliamente aceptados. Los estudios de seguridad a realizar se orientarían, en general, a evaluar posibles problemas que afecten a nuestros datos, del mismo modo que Euro NCAP evalúa la protección de los ocupantes de un vehículo ante una colisión.
Conociendo el proceso de antemano y publicando los resultados para cada producto analizado, se ayuda a crecer al sector del software. En concreto, para las empresas pequeñas sería muy interesante, si los costes de estos tests son bajos. En caso contrario servirá de poco.
Los efectos de esta medida serían múltiples. Se me ocurre……
  1. Por un lado, se llamaría la atención sobre la seguridad de los S.O. en relación a nuestros datos, tanto entre fabricantes como entre usuarios.
  2. Se normalizaría el algunos conceptos y medidas relacionados con la seguridad aplicado a S.O. lo que tendría un gran impacto sobre la protección de nuestros propios datos a medio plazo.
  3. Se podría ampliar en el futuro a otro tipo de productos de software bajo el mismo modelo. Los navegadores, clientes de correo, etc., es decir, aplicaciones básica usadas por todos, podrían ser los primeros candidatos.
  4. Se podría en el futuro desarrollar un modelo de negocio en torno a certificaciones. Serían bienvenidas por la industria y los usuarios, si son objetivos y baratos.
  5. Ayudaría a separar el polvo de la paja en áreas como vius, malware, ataques, etc., poniendo sobre la mesa la responsabilidad que tienen los propios fabricantes en muchos de los problemas que sufren los usuarios al utilizar sus productos.
  6. Se definiría un proceso de aprendizaje y retroalimentación que favorecería el aumento de calidad de los productos en este ámbito. Siendo los procedimientos de medida y evaluación aplicados, así como las condiciones de los laboratorios, públicos, las empresas podrían replicar los tests internamente antes del lanzamiento de sus productos, asegurándose una reducción del impacto negativo que supone la publicación de posibles evaluaciones negativas por parte del órgano evaluador. No se trata de crucificar a nadie, sino de aprender. Este proceso permitiría la rápida mejora de los propios tests.
  7. El establecimiento de diferentes niveles de seguridad, en función del tipo de uso y datos que gestionen los diferentes productos, abre la puerta a futuros establecimientos de niveles mínimos de seguridad, ayudando a la segmentación del mercado, a su especialización.
  8. Las implicaciones para el mercado serían enormes. Se me ocurre por ejemplo aplicar estos procesos a markets de aplicaciones para móviles.
   243. Será interesante comprobar las reacciones de algunos fabricantes ante una iniciativa como ésta, que empodera al consumidor a través de un órgano evaluador independiente.
En la actualidad, existen en el mercado certificaciones asociadas al uso de software para defensa, por ejemplo. La idea es democratizar, aportar luz y abaratar estos procesos, además de aplicarlos a software de uso común. La orientación a la protección de nuestros datos me parece fundamental. La seguridad es un concepto más amplio.
Para la industria automovilística y para nuestras vidas, esta idea ha tenido un alto impacto. No veo por qué no podemos trasladarla al software.
¿Existe algo como esto en marcha en alguna parte?¿Tiene sentido esto o ando bajos los efectos de la sopa y la pipa todavía?

KDE como solución para entornos empresariales

El pasado 10 de Noviembre participé como ponente en la Libre Software World Conference 2011, celebrada en Zaragoza y organizada por ASOLIF, CESLA y el Ayuntamiento de la ciudad. La ponencia llevaba por título KDE como solución para entornos empresariales. Aprovecho para agradecer a los organizadores la deferencia que han tenido conmigo y con KDE España en darnos la posibilidad de presentarnos en la sala principal del evento.
El objetivo era aportar desde KDE España una visión diferente de lo que hacemos. Nuestro proyecto y nuestro software ofrecen innumerables ventajas a empresas, tanto proveedoras de servicios y productos TIC, como a empresas consumidoras.
KDE España está centrada en promover KDE y, casi siempre lo habíamos hecho entre desarrolladores y entornos educativos. Participando en eventos como este, de marcado carácter comercial, pretendemos ampliar nuestra zona de influencia, dándonos a conocer en otros entornos. Ya lo hicimos en la pasada edición de este evento, hemos repetido en esta y pretendemos ampliar nuestra cobertura a otros.
No dudes en descargarte las transparencias (están en inglés) dado que incorporan multitud de enlaces a información adicional. También te recomiendo la visualización del vídeo de la charla.

KDE at the Libre Software World Conference 2011

Libre Software World Conference (LSWC’11) is the most important commercial event related with Free Software in Spain. It is organized by ASOLIF, the National Federation of SME’s Free Software Associations. As you might remember, I was its Manager Director just a few weeks ago.

Last year it was organized in Málaga, Andalusia, and this year it will take place in Zaragoza. The regional Association from the region, CESLA, along with the Municipality, play a key role in the organization of the event.

This edition includes the Joomla Day and the Python Day, which will help bringing to the LSWC’11 even more people than last year, specially technicians, which I think is really good. The event will take place on November 9th and 10th.The following two days, Zentyal celebrates it first Zentyal Summit in the same place. Zentyal contributors , partners, users and employees from all over the world will meet there to take this Free Software Business Server one step further. A lot of good news will come out of it.

Representing KDE Spain, I will give a conference called KDE as a solution in business environments. It is scheduled on November 10th at 10:30 a.m. Although there are several activities at the same time, I expect a lot of people attending since it take place in the central room. That is pressure 🙂

As you can see in the program, more than 70 talks and workshop are scheduled. More than 100 companies will be there and more than 500 atendees will participate those two days.

By the way, Microsoft is sponsoring the event.

El sector del Software Libre no se moja con la Universidad

Soy extremadamente crítico con el papel que juega La Universidad en nuestro país[1]. Esta institución posee una inercia que las ha dejado absolutamente obsoletas en muchos ámbitos. En la mayoría de ellos puede que no sea simple detectarlo. Pero en ámbitos de rápida evolución, como es nuestro sector (software libre), se hace evidente la necesidad de una reforma profunda. Basta analizar qué Universidades españolas realizan trabajos relevantes en el ámbito del Software Libre (programas de contenidos formativos, cualificación de los docentes, nivel de competencia de los recién licenciados, proyectos de investigación en este ámbito, código liberado, etc.) para darse cuenta del largo camino que queda por recorrer.
Dada la imposibilidad de que las perdices aprueben una ley de caza en la que existan cupos para la extinción de su propia especie, las sucesivas Juntas Directivas de ASOLIF se marcaron como objetivo desde el primer día acercar la empresa a estas instituciones para:

  • Dar mayor dimensión y generar sinergias con los pocos que, desde la Universidad, trabajan seriamente en el ámbito del Software Libre.
  • Mostrar a la Universidad la necesidad de cambio, desde una visión práctica, a través del ejemplo, no de la crítica fácil.

A su vez, estamos siguiendo una política paralela de acciones orientadas a la formación y a la capacitación de profesionales, tanto de nuestras empresas como externos, con el fin, entre otros objetivos, de dar respuesta a la demanda formativa que no cubre la Universidad, bien sea porque no quiere, no puede o no sabe.
En la medida de nuestras posibilidades, ASOLIF ha venido realizando acciones que respaldan estas dos estrategias. Queda mucho por hacer aún, lógicamente.
La estrategia de acercamiento a la Universidad no es casual. Es el resultado de las estrategias de muchas de nuestras empresas, que van en la misma línea y que, siguiendo la dinámica down-top que nos ha caracterizado hasta ahora, tienen su traducción en políticas sectoriales en el seno de ASOLIF.
Los ejemplos de empresas de nuestro sector que dedican recursos a colaborar con la Universidad son numerosos y relevantes, teniendo en cuenta su número (reducido) y dimensión (11 empleados y 500 mil  € de facturación media anual en 2009). Escribo este post a consecuencia de uno de ellos, que se ha publicado hoy, protagonizado, entre otras, por una pequeña empresa de Málaga, Yerbabuena. Se trata del Máster en Ingeniería y Gestión para Redes de Comunicaciones Móviles
Como prueba de que no se trata de un ejemplo aislado, doy aquí otros ejemplos, algunos de ellos de un mérito enorme por parte de empresas y Asociaciones de ASOLIF:

Estos y otros muchos ejemplos demuestran la falacia que, en nuestro caso, representa la afirmación de que no nos acercamos a la Universidad, de que la empresa no se moja con ella. Creo que el ámbito del Software Libre siempre la ha tenido en cuenta. Nació allí, pero se está consolidando lejos de ella.
Existe una buena oportunidad todavía para cambiar la tendencia. Proyectos como el de la Universidad de Toulouse y KDE[2] marcan una línea muy interesante de colaboración entre Comunidades de Desarrollo, empresas y Universidad. En cualquier caso, no soy optimista respecto un cambio de esta Universidad desde dentro, más allá de algunos casos particulares. Nosotros insistiremos igualmente. A nivel personal, también.

Así que, donde quiera que esté, si oyes a alguien de la Universidad o a algún político afirmar que el sector del Software Libre no se moja con la Universidad, responde con toda confianza….mentira.

[1] Artículo de opinión publicado en en Linux Magazine nº 54.
[2] Enlaces de interés sobre este proyecto: presentación en GCDS 2009 (transparencias), presentación en Akademy 2010.

Procesador de textos: reflexiones sobre su migración a herramientas libres

El concepto de procesador de texto para PC tuvo su apogeo en los 80. Desde aquella época hasta hace muy pocos años, no sufrieron grandes cambios desde el punto de vista conceptual. La llegada de internet y la presión que han ejercido entornos distribuidos, como las comunidades de desarrollo de Software Libre, evidenciaron que la colaboración de diferentes usuarios a la hora de generar un mismo contenido era una necesidad imperiosa.

La puesta en funcionamiento de Google Docs descubrió a muchos lo que venía siendo algo evidente entre aquellos entornos en los que el wiki tuvo un impacto grande. Existe un amplio mercado para los procesadores de texto que posibiliten de un modo simple que diferentes usuarios participen en la realización de un documento.

La aparición de etherpad ha sido un paso más en esa línea. Esta herramienta libre permite implantar una infraestructura corporativa propia con el fin de elaborar de manera colaborativa textos de formato simple.

El gigante de Redmond se ha metido de lleno en la pelea por comercializar este tipo de soluciones, aportando funcionalidades de orientación colaborativa a su ya clásico paquete ofimático. Tras la etiqueta “cloud“, se han lanzado de lleno a revolucionar el mercado.

Antes de dar el salto hacia este nuevo tipo de soluciones, es relevante realizar un análisis sobre los costes de las herramientas disponibles. El coste de cualquier herramienta tiene relación directa con el grado de aprovechamiento e impacto que tiene su uso en el entorno laboral.

Así, el impacto de nuestra inversión en estas herramientas será bajo si no acompañamos su implantación con formación. Añadir los costes de formación al de adquisición de producto es una tarea básica para cualquier análisis serio. Sabemos que, por regla general,  los costes de formación en herramientas privativas son superiores a los de herramientas libres.

Una vez conocida la herramienta, o antes, hay que estudiar el impacto que tiene su incorporación a los procedimientos de la empresa. Adaptarlos pronto a las nuevas posibilidades que se abren con el uso del nuevo procesador de textos permitirá aumentar su impacto, y por tanto, el retorno de nuestra inversión. Este coste debe ser también tenido en cuenta.

La integración de estas herramientas con otras que ya tenemos en nuestra empresa es un elemento fundamental que debe ser analizado con cuidado antes de implantar solución alguna. El que la herramienta use estándares abiertos y formatos libres es básico. Sería imperdonable repetir errores del pasado y someternos a un nuevo cerrojazo por parte del proveedor con la excusa de adquirir un producto altamente innovador.

Los costes derivados de la cautividad que sobre nosotros ejercen fabricantes de software privativo nunca figuran en el presupuesto del producto, pero existen y en ocasiones dejan en ínfimos al resto de conceptos de coste. El hecho de que no seamos conscientes de ello, porque nunca antes nos hayamos planteado una migración a otra herramienta, no quiere decir que no existan.

¿Qué porcentaje de la funcionalidad del tradicional paquete ofimático se usa en tu entorno laboral?

Esta pregunta debe ser tenida en cuenta a la hora de adquirir la nueva revolución en el área ofimática. Si el porcentaje de funcionalidad actual que usamos es bajo, lo normal es que, con el nuevo producto, no se incremente de manera relevante. El hecho de que el efecto colaborativo+cloud se venda como una enorme necesidad para el paquete ofimático del futuro dentro de la empresa, no debe descentrarnos del hecho de que, el 80% de nuestros usuarios solo usa el 20% de la funcionalidad de estos productos.

Existen en el mercado soluciones basadas en Software Libre que permiten la generación de manera colaborativa de contenidos que se adaptan a buena parte de las necesidades de las empresas, especialmente de las más pequeñas. Herramientas como los wikies y los pads, combinados con otras herramientas como los servidores de mensajería instantánea, la VoIP, los gestores de tareas etc. aportan un valor enorme, permiten escalonar la inversión y adaptarla bien al proceso productivo de la empresa, cuidando detalles relevantes como la integración con la infraestructura actual así como el almacenamiento y tratamiento de datos utilizando estándares abiertos y formatos libres.

Es interesante diferenciar entre la generación de contenidos y la presentación de los mismos. Las mejores herramientas para aportar formatos al texto son, y serán durante mucho tiempo, locales. Se ha avanzado mucho en la aplicación de formatos elegantes a contenidos través de aplicaciones web, no obstante, no obstante, aún queda mucho camino por recorrer.

Por tanto, diferenciando el proceso de generación de contenidos del proceso de formateo, desde el punto de vista de la migración a herramientas libres, se pueden definir estrategias tremendamente rentables con las soluciones libres actualmente disponibles.

Una de las causas de las enormes dificultades que generan los procesadores de texto desde el punto de vista de la migración, es su amplio espectro de funcionalidad. Hay un dicho popular dentro del mundo del Software Libre que dice que las buenas aplicaciones son aquellas que hacen una cosa bien frente a las que hacen muchas regular. El procesador de textos entra dentro de esta segunda categoría.

La migración de un procesador de textos privativo, sea alguno de los tradicionales o las nuevas versiones cloud, a herramientas libres, no posibilitarán un aumento relevante en la productividad si no se define con rigor qué tareas se realizan con ellos. Los wikies y los pads no disponen de gran parte de la funcionalidad que aporta MS Word, por ejemplo, pero tampoco lo pretenden. Están diseñados, sin embargo, para realizar una serie de tareas básicas muy bien.

Combinadas con un procesador de textos libre para aplicar formato a los contenidos, como AbiWord o Kword o los incorporados en los paquetes LibreOffice o Calligra, estas herramientas de generación colaborativa de contenidos pueden dar prestaciones similares o incluso mayores a las privativas. Todo está en función de las necesidades reales de la empresa y la capacitación de los usuarios, no de las expectativas que se puedan crear en torno a la propia herramienta o su funcionalidad. Por otro lado, tanto Calligra como Libre Office están avanzando rápidamente y en poco tiempo veremos como se habla mucho de ellos… y bien.

Por último, una empresa que se plantee migrar su procesador de textos, debe analizar los problemas que tiene para llevar adelante dicha migración debido a las particularidades de la herramienta que favorecen especialmente la transición hacia la nueva versión de la solución que le vende el canal del mismo fabricante. Estos problemas, lejos de mejorar, con las nuevas versiones, suelen ir a peor.

Estamos en una etapa clave. Nos dicen que abandonemos un camino, el paquete ofimático local, y abracemos una nueva panacea, el cloud. Comienza aquí un fase que, desde el punto de vista de la independencia tecnológica y del proveedor, es crítica.

Es el momento adecuado de plantearse seguir el camino que te marcan, o tomar otro que, en gran medida, puedes marcar tú. El procesador de texto es la herramienta TIC más extendida, junto con el cliente de correo electrónico y el navegador, en cualquier PyME. Igual que ocurrió con estas últimas en el pasado, nos encontramos ahora ante una oportunidad única de cambiar la tiranía que nos impone un mercado amañado, añadiendo competencia real que respete algunos derechos fundamentales de los que los la mayoría de los usuarios no pueden disfrutar ahora.