BUS de Identidad como herramienta de seguridad empresarial

Digamos que eres un ingeniero dedicado al desarrollo de software, y que trabajas para una empresa que se encarga de desarrollar software o para una empresa que tiene sistemas a los que les das mantenimiento. O bien puedes ser una persona encargada de buscar las mejores soluciones tecnológicas para tu empresa y mantenerla siempre actualizada, eficiente y segura.

En cualquier caso la llegada de un nuevo requerimiento de desarrollo de una nueva solución software pasa por los siguientes aspectos de seguridad que los muestro en forma de preguntas:

  1. Cómo se gestionarán los usuarios y los roles? En que mecanismo serán almacenados, BBDD, LDAP, ficheros, etc…?
  2. ¿Qué tipos de autenticación se brindarán, la típica de usuario/contraseña, se usará algún tipo de certificado digital, algún token, se usará alguna autenticación contra redes sociales como facebook, google, etc..?
  3. ¿Qué pasa con las BBDD que ya tenemos creadas de usuarios y roles de otras aplicaciones, no podemos reutilizarlas?¿Afectará en algo a las soluciones actuales si las uso?
  4. ¿En la empresa hay un LDAP, se podrá usar, lo uso?
  5. Mi empresa matriz gestiona la autenticación de forma centralizada, ¿podré conectar esta nueva aplicación a dicha autenticación?
  6. ¿Cómo logro que mis clientes, que no tienen por qué estar registrados en este nuevo sistema, puedan acceder al mismo y a sus funcionalidades sin tener que registrarlos?
  7. ¿Qué hago si me piden autenticación en múltiples pasos, para determinados usuarios o para determinados tipos de acceso?
  8. ¿Podré migrar los usuarios que tengo registrados en sistemas viejos a este sistema nuevo, qué tan complicado puede ser? ¿Cómo logro que los atributos de los usuarios de esos sistemas viejos se incluyan en el sistema nuevo?
  9. ¿Si ya mi ecosistema de aplicaciones va creciendo, cómo controlo los temas de seguridad de manera centralizada para no tener que estar entrando una por una a cada aplicación?
  10. En caso que un usuario cause alta o baja de la empresa, ¿tengo que ir sistema por sistema realizando la misma acción?
  11. Mis usuarios tienen que recordar una contraseña más, ¿sería posible lograr una única cuenta para todas las aplicaciones?

Continuar leyendo “BUS de Identidad como herramienta de seguridad empresarial”

Activa hoy la segunda prueba de datos de ETECSA

En el día de hoy ETECSA anunció por los programas televisivos en la mañana y a través del sitio de cubadebate que estaría realizando una prueba donde permitiría la compra “gratis” de un pequeño plan de 70MB para el uso durante el día entre los 8am y las 12m.

Este plan se puede activar a través de cualquiera de las siguientes vías:

  1. Marcar *133# y seguir las opciones del Menú, seleccionando el número que identifica la misma: Datos (1), Uso Diario (1) y Enviar (1).
  2. Acceder al portal MiCubacel (https://mi.cubacel.net) previo registro.

Para aquellos que quieran probarlo aquí van mis consideraciones:

  1. Son solo 70MB, no son 500 ni 1GB ni 2GB, con esto quiero decirles que si celular no está acostumbrado a conectarse a internet esos 70MB se le van a ir en actualizaciones del sistema y los programas actualizándose y sincronizándose con los servidores. No es culpa de ETECSA. Eso pasa porque no están preparados para la internet por datos móviles.
  2. Deben estar preparados para la internet por datos.
    Esto significa que deben tener programas como:
    “Internet Speed Meter Lite” que te mostrará la velocidad de subida y de bajada para que estés atento a si algo te consume datos o no;
    “GlassWire” que te llevará una estadística de qué programas consumen internet bien sea por datos o por wifi con periodos que puedes filtrar de minutos, horas, días y meses;
    “Datally” que crea una VPN interna bloqueando todo el uso de datos desde tu teléfono y te da la opción de que desbloquees el uso de datos solo para aquellas aplicaciones que quieres usar. O sea que si solo vas a usar Whatsapp es como si le dijeras al teléfono, prohíbo que todas las aplicaciones incluido el sistema operativo usen internet por datos móviles, con la excepción de Whatsapp.

De esta manera podrás usar tus 70MB en lo que realmente quieras, y no en lo que al teléfono le de la gana.

Monitorización del transporte en la ciudad. ¿En tiempo real?

Te has imaginado estar alguna vez parado/a en una parada, consultar tu teléfono y saber que el ómnibus que esperas llega en 5 minutos? 

Más allá del sueño, o la pesadilla, y de que te lo puedas imaginar en un futuro muy pero muy lejano la realidad es que complicado de implementar no es y explico:

  1. Se necesita tener GPS en cada ómnibus. Ya esto se está logrando al día de hoy en nuestro país, al menos en la capital. Lo que no funcionan en tiempo real pues no tienen como mandar su ubicación. Los datos son descargados al llegar a sus bases quizás con horas de retraso.
  2. Se necesita poder mandar la ubicación en tiempo real. Esto se puede lograr con dispositivos conectados a la red de datos, 2G o 3G, de ETECSA que cada cierto tiempo manden la ubicación obtenida del dispositivo GPS.
  3. Se necesita de un sistema capaz de recopilar todos los eventos generados por los dispositivos de los puntos 1 y 2, procesarlos, almacenarlos en BD relacional o no relacional, y tener facilidades para:
  • Permitir la subscripción a determinados eventos predefinidos, como puede ser que te notifiquen 5 minutos antes de que llegue el bus a la parada X.
  • Permitir la visualización en un mapa de la ubicación de determinado transporte.
  • Generar eventos complejos, como pueden ser notificaciones de accidentes, de retrasos, embotellamientos, detenciones no autorizadas de los bus, no detenerse en las paradas establecidas, etc, etc, etc…

El sistema capaz de permitir todo lo del punto 3 y más, también existe y es gratis bajo licencia Apache v2, se llama WSO2 Stream Processor.

Haciendo copy/paste a lo que dicen en el sitio:

“WSO2  Stream Processor  is a  Streaming SQL based, high performant, lightweight, open source stream processing platform, facilitating the creation of real-time, intelligent, actionable business insights, and data products for digital businesses. It allows you to collects events,  analyzes them in real-time, identify patterns, map their impacts, and react within milliseconds.”

En la práctica su funcionamiento es como sigue:

  1. Se tienen componentes que generan eventos, estos serían los dispositivos GPS en los ómnibus.
  2. Estos eventos son lanzados para cualquiera de las variadas vías de conexión que ofrece la herramienta: HTTP, Kafka,TCP,In-memory,WSO2 Event,Email,JMS,File,RabbitMQ,MQTT.
  3. Una vez que el evento llega usando Shiddi podemos manipularlo, no solo a el si no a todos lo que se hayan definido en una ventana de tiempo,  hasta que sea lanzado a un mecanismo de respuesta, tipo alerta, notificación o lo que sea.
  4. Lo interesante es que al tener almacenada la información en BD esta puede visualizarse en dashboards para generar reportes en tiempo real

Con una solución así los responsables del transporte podrían saber en cualquier momento del día cualquier información que necesiten.

Si alguien tiene dudas de la factibilidad de esta solución, solo tiene que ver este enlace donde se describe una especie de licitación o concurso público para resolver algunos problemas de transportación en Londres, Reino Unido, y WSO2 ganó con un demo de la solución. Y bueno una solución ya pulida la comentan en este otro enlace.

Nada que si de verdad nuestros directivos de la informática quieren informatizar el país no tienen excusa para no hacerlo. Solo voluntad y ganas de trabajar con la comunidad de desarrolladores que existe en nuestro país.

OpenBanking con WSO2 y cómo implementarla en Cuba.

En la una entrada previa vimos una breve introducción a qué era el OpenBanking, sus beneficios y como podría mejorar la experiencia del usuario cubano en los temas de banca, de aplicarse en nuestro país. En esta entrada veremos una implementación ya existente, las herramientas que usa y si es factible hacer algo similar en nuestro país.

El openbanking es un tema muy de moda en todo el mundo a raíz de nuevas regulaciones en la Unión Europea que se resumen en la PS2D. Lo principal de estas regulaciones son 2 elementos: normaliza/estandariza el uso de las APIs en los bancos y facilita el tema del comercio electrónico, pues hace que los bancos abran sus APIs de pago a 3ros. Ya sabemos que eso acá causará un miedo de “madre pa “alante” pero la realidad es así.  Seguridad por oscuridad (no saber cómo está implementada la seguridad) no sirve, lo seguro es lo que es público y aun así da problema violarlo. Nada de agarrar tijeras y picar el cable de red.   😀

Continuar leyendo “OpenBanking con WSO2 y cómo implementarla en Cuba.”

Segunda edición del TICS 2018 en Cuba.

El día 28 de junio del 2018, se realizó en nuestra capital la segunda edición del evento “Taller de informática y comunicaciones para la sociedad” TICS2018.
Este evento gestionado por el GEIC, Grupo Empresarial para la Informática y las Comunicaciones fue desarrollado en la sede central de los Joven Club de Computación y Electrónica.

Objetivo de la entrada: Determinar lo bueno y lo no tan bueno del evento.

El programa incluía las siguientes actividades:

  1. Conferencia “Tecnología BlockChain”. Del Dr. Miguel Katrib Mora. Duración de 50 minutos más 10 de debate.
  2. Conferencia “Propiedad Intelectual y el desarrollo del software”. De la Máster Juana Lourdes Vallín Sosa. Duración de 20 minutos más 10 de debate.
  3. Intervención de la UIC. De la vicepresidenta primera María Ester Alfonso Suárez. Duración 10 minutos
  4. Conferencia “La Nube, las plataformas y los nuevos modelos de negocio” De DESOFT impartida por su director general Luis Guillermo Fernández. Duración 10 minutos.
  5. Conferencia “Salud con todos y para todos”. De SOFTEL impartida por su directora general Ariadna Curbelo García. Duración 10 minutos
  6. Conferencia “Educación y Tecnología en Cuba, tarea de todos”. CINESOFT impartida por su director general Iván Barreto Gelles. Duración 10 minutos
  7. Conferencia “Experiencia de Joven Club en la implementación de alianzas en el sector de las TIC”. Por su subdirectora general Anamaris Solorzano Chacón. Duración 10 minutos.
  8. Conferencia “Ideas para la colaboración en el desarrollo de aplicaciones y servicios de software”. De XETID impartida por su director general Medardo Morales Martín. Duración 10 minutos y 10 minutos de debate.

Continuar leyendo “Segunda edición del TICS 2018 en Cuba.”

Licitaciones públicas para el desarrollo de software en Cuba

Puede ser que esté equivocado, y así quiero comenzar esta entrada dejando esto claro, pero me parece que en Cuba el software no se licita de manera pública, al menos no se de un registro de licitaciones ni he leído de alguna licitación hecha.

Entiendo por licitación pública de un software aquel procedimiento donde una empresa tiene un problema X en su negocio y ha identificado que necesita automatizar determinadas actividades para darle solución al problema X, así que lanza una oferta pública buscando quien pueda implementarle un software que le resuelva la situación y a través de un procedimiento que puede ser estándar o no, determinar partiendo de varios criterios quien es el que mejor puede resolver su problema teniendo en cuenta los temas técnicos y económicos.

Los pasos pueden variar pero en una licitación no deben faltar los siguientes:

  1. La empresa teniendo claro el problema a resolver, debe hacer un RFP, Request For Proposal, donde explique quizás un poco por arriba inicialmente cual es el problema que tiene y cúal ellos creen puede ser una posible solución técnica. Pidiendo que aquellas empresas interesadas manden su portfolio de soluciones y capacidades técnicas. Este podría ser un primer filtro.
  2. Partiendo del listado inicial de empresas que aplicaron a la solicitud realizar un primer corte usando determinados criterios de selección como puede ser la confiabilidad, años de experiencia, dominio del sector, etc, etc…, y al grupo seleccionado entregarles todo el RFP detallado a nivel técnico, previo acuerdo de confidencialidad,  y solicitarles que:
    1. hagan una prueba de concepto, PoC, donde demuestren que tienen la capacidad técnica para darle solución al problema entregándoles una parte del problema para que lo resuelvan. Deben resolverlo en determinado tiempo y cumplir con determinadas métricas. Y además deben justificar la arquitectura, tecnología y la manera en que implementaron la PoC.
    2. entreguen una estimación en h/h del esfuerzo requerido de manera general para darle solución al problema completo.
    3. entreguen una propuesta del monto del proyecto y de los hitos que se deberán cumplir.
  3. Con los resultados del punto anterior ya la empresa tendrá varias PoC con soluciones a parte de su problema, y una idea clara del tiempo y costo que propone cada empresa licitante. Ya llegado a este punto es decidir cual de las empresas es la que gana la licitación. O bien pueden realizar otra iteración con una selección menor de participantes para determinar algún otro tema de interés para la empresa.

Ahora bien, no todas las empresas son capaces de conducir una licitación, bien porque no tengan personal técnico calificado o porque no quieren meterse en ese tema. Aquí se puede generar un nuevo rol de “gestor de licitación” y podría ser una empresa o persona natural la que se encargue de ser el punto 0. O sea este “gestor de licitación” podría ir a la empresa que tiene el problema X, entender el problema, elaborar una arquitectura de alto nivel con las tecnologías, herramientas y lineamientos para darle solución al problema e incluso elaborar el RFP. Luego junto con personal de la empresa sería quien filtraría en el punto 1 y en el punto 3, para quedarse con una empresa que de verdad pueda asumir el proyecto y llevarlo a buen término.

Este tipo de rol resulta interesante, pues se genera una nueva oportunidad de trabajo que bien puede acompañar o no durante el desarrollo de todo el proyecto, y que puede suplir una carencia que dispongan aquellas empresas que no tengan un equipo de informáticos fuerte.

El tema al día de hoy, estoy asumiendo que esto no se hace en Cuba, es que las empresas que necesitan aplicaciones:

  • No saben si la empresa que contrararon tienen la suficiente capacidad técnica o la experticia para desarrollarles un software de calidad.
  • No saben si se cumplirán con los tiempos de desarrollo, o si existe otra empresa que pudo haber desarrollado lo mismo o mejor en menos tiempo.
  • No saben si la solución les podría haber costado menos de irse con otra empresa.
  • No saben si la solución que les van a entregar será escalable en el tiempo, si cumple con los mejores estándares del sector, si la tecnología empleada es de punta…etc…

De ahí que vea la necesidad que tenemos en el país de comenzar a licitar, y más cuando son empresas públicas que requieren de transparencia constante en todos sus desarrollos.

Pues se podría dar el caso de que la empresa “A” necesita de un sistema, han visto que en el país “B” tienen uno y se gastan “X” cantidad de dinero en comprarlo, sin haber hecho una licitación pública para ver si alguien del patio pudiera haberles hecho algo igual o mejor, con el consiguiente ahorro de recursos monetarios. Al final tienen un software “P” que es posible tengan que pagar todos los años por su uso, que no cumpla con todas sus necesidades actuales y futuras y hayan pagado una enormidad por el mismo.

En fin, la necesidad está creada, los procedimientos existen y la pregunta es: ¿Por qué no se usan?

ToDus, los datos móviles y la futura internet por datos en el cell

Desde esta semana en Cuba se está dando una nueva revolución en la mensajería instantánea con la llegada de todus y apklist

La idea principal es la de cualquier servicio de mensajería instantánea como whatsapp o telegram. No hay nada novedoso a mi entender en la propuesta que nos lleve un Ohhh, lo que si es importante es que es un desarrollo hecho en Casa y que nos hace independientes de esos servicios.

Lo novedoso de verdad es la idea secundaria: darlo gratis a través de los datos móviles, sin aun dar la internet por datos. Ese ha sido el verdadero hito de esta estrategia. Y es lo que está generando toda la locura con la mensajería, que ya los que tienen teléfonos que la 3G no les funciona quieren botarlos y comprarse algún chimbito de ETECSA pero que tenga 3G para estar en este maremoto de mensajes intercambiados.

Como quiera que sea, es algo que es superbienvenido, ha revolucionado la red de ETECSA de seguro, y esperemos que llegue para quedarse con más actualizaciones para que limen los detallitos que les quedan. Pero que no empañan el funcionamiento de la aplicación.

Quisiera comentarles, que al dejar activados los datos móviles solo para usar toDus corremos un riesgo de que tanto el sistema operativo android como el resto de las aplicaciones quieran hacer uso de la red abierta, y aunque ahora no hay internet, dentro de poco “esperemos” si la habrá..De ahí que les dejo algunas ideas a tener en cuenta:

Instalen par de aplicaciones como Glasswire y  la aplicación Datally de google: esta aplicación crea una VPN interna que filtra todo lo que quiera conectarse a la red y ustedes pueden bloquearlo si quieren o dejarlo pasar..les dejo algunas imagenes para que se hagan la idea.

Con glasswire pueden ver el consumo de datos móviles y de wifi por día, mes, etc…vean la siguiente imagen.

Continuar leyendo “ToDus, los datos móviles y la futura internet por datos en el cell”

Open Banking, qué es y como puede beneficiar a Cuba

El tema de los bancos viene desde nuestra prehistoria. Desde que alguien aprendió a guardar las piedras al resto de sus cercanos ya estaba actuando como banco.

En nuestro país contamos con instituciones bancarias como: BANDEC, BANMET, BPA, etc…las más conocidas por nuestra población.

Hubo un tiempo es que estas instituciones no se comunicaban bien entre si, de ahí que fuera complicado hacer una transferencia de una cuenta en una de estas instituciones a una cuenta en otra institución, ya sea por el monto a transferir, la lentitud o por X cantidad de otras razones.

Continuar leyendo “Open Banking, qué es y como puede beneficiar a Cuba”

Gobierno electrónico en Cuba

En nuestro país la frase de moda en estos días relacionada con las tecnologías es  “gobierno electrónico.”

Ya Cubadebate tiene un artículo bien caliente de hoy al respecto que fue tomado de este otro sitio.

Lo fundamental que se puede sacar del escrito son las etapas por las que pasará el gobierno electrónico en nuestro pais:

  1. Presencia de los organismos y gobierno con información útil para la población en el sitio del gobierno.
  2. Interacción de la Administración Pública, el gobierno y el pueblo.
  3. Transacción donde se usen los pagos electrónicos en los trámites y servicios.
  4. Transformación, que incluye la participación del pueblo en la construcción de las políticas públicas y en la gestión de la administración y el gobierno.

Está claro que recién comenzamos con la primera, y en un máximo de 4 provincias con sitios web, de seguro hechos en PHP, con contenido estático dando información que bien puede considerarse de un copy/paste de algún panfleto con listados de trámites y pasos a dar en cada trámite.

Continuar leyendo “Gobierno electrónico en Cuba”