Grado de dificultad: 2 (¡Qué difícil es hacer entender que la tecnología bien hecha cuesta!)
Columnista: Jonny
Jonny regresa a TMN con un editorial enojado.
Su disgusto es entendible y nos devuelve, una vez más, a la incompatibilidad (diplomáticamente sea dicho) entre Postmodernismo y Nerdos.
El origen de su enojo de ingeniero es un reciente incidente local (#Colombia) de (aparente) Ransomware:
El ataque cibernético que sacude a Colombia
Lo triste es que Colombia no es un caso aislado …
Un día nefasto para la ciberseguridad colombiana
Las críticas de medios no tan especializados
El pasado 12 de septiembre, quedara grabado como un día nefasto en la ciberseguridad colombiana.
Y si bien, medios “especializados” y los no tanto, han dado sus puntos de vista, entrevistando a “especialistas” en muchas ocasiones dando opiniones sesgadas y otras como publirreportajes pagados a muy bajo precio, en pocos se dio un espacio para el debate y construir sobre lo deconstruido.
Nunca creí decir esto, pero las redes sociales fueron un bálsamo.
Allí, varias personas daban su apoyo a los ingenieros que estaban buscando la forma de encontrar la solución, otros para subir los servicios, otros para descifrar que pasó.
Otros, en medio de su coyuntural ombligo solo atinaron desde un punto comercial a despotricar de unos y sacar el emblema de la perfección de su lado.
¿¿Pero qué pasó??
Unos amigos “clandestinos”, decidieron alojar visitantes desde hace varios meses en huecos que encontraron en las plataformas de virtualización de uno de los proveedores de servicios informáticos más fuertes en Colombia.
Los esquemas de seguridad no alertaron la presencia de estos visitantes, y poco a poco se fueron acomodando como Pedro por su casa, hasta que en la fecha 0 (cero) decidieron sacar los corotos de los residentes y llevarlos a dar un paseo. A cambio de una “ínfima” suma de dinero.
En estas plataformas de virtualización, estaba alojada información de suma importancia para el país, desde historias clínicas, pasando por datos de procesos jurídicos hasta registros de animales vivos e importación de vacunas.
Esperando con veladoras
Los sistemas de salud y justicia del estado se bloquearon. Pasados 10 días, las entidades siguen a la espera del restablecimiento de sus servicios y, con veladoras, de que su data este integra, confiable y por supuesto que no esté en manos equivocadas.
Algunas decidieron pausar sus servicios, otras están trabajando a mano, lo que significara un retrabajo en el momento de operar con normalidad.
Esto parece la historia de una pésima película de Hollywood, tanto así que fue necesario que el proveedor trajera ayuda yankee para disminuir tiempos de restablecimiento, pero la pregunta latente es ¿quién tuvo la culpa?
¡Yo no fui!
Seguirá siendo el derrotero, el estado en voz del ministro de TIC (personaje que ha estado alejado del proceso) salió a culpar y amenazar al proveedor.
Los expertos señalan a las entidades, las entidades miran como que no es con ellos, pero nadie se ha fijado en el hilo conductor.
Del arte de tomar decisiones sin conocimiento
Criterios administrativos más que técnicos
Hace algunos años, en búsqueda de un sistema de contratación eficiente y limitando las alas de la corrupción, el estado creó una figura llamada Colombia Compra Eficiente (CCE).
Esta ha funcionado como una tienda virtual de contratación pública, donde los proveedores o contratistas agrupaban sus servicios en fichas técnicas dando un precio.
La entidad contratante, de acuerdo con sus necesidades, tomaba las fichas y “acomodaba” la solución, siempre buscando el valor más bajo,
Su fin era “Facilitar los procesos y fortalecer sus capacidades para obtener mayor valor por el dinero público en el Sistema de Compra Pública colombiana”.
La diferencia entre “pedido” y “necesario”
Suena muy bonito, y ha funcionado correctamente hasta el sol de hoy, ya que el CCE ha regulado para que precios y servicios ofertados se cumplan de acuerdo con lo ofertado.
Pero y si funciona, ¿qué paso acá? La respuesta es sencilla:
Como clientes buscamos el servicio de menor precio (así este, muchas veces, no sea lo mejor).
El problema es que las oficinas de TI (Tecnología de la Información) de las entidades no están compuestas en su totalidad por expertos en todas las áreas.
Y, aclaro, no los deben tener, para eso contratan especialistas externos.
El CCE tampoco, por lo tanto, no tiene en cuenta aspectos técnicos relevantes a la hora de tomar decisiones. Las fichas, por ejemplo, se alejan mucho de los valores mínimos que exigen empresas del sector financiero.
Tener respaldo en otra región física
Resulta que, salvo los Niveles de Servicio y el tiempo de disponibilidad, no se exige que los ofertantes cumplan normas técnicas de Datacenter:
En este caso en particular, los respaldos (en los pocos casos que existían) estaban en la misma plataforma, razón por la cual el tiempo de reposición ha sido tan extenso.
El sector financiero exige, como mínimo, que los respaldos estén en otra región física.
Esto hace que el sector gubernamental sea una gran oportunidad de negocio para los diferentes operadores:
“No requiero invertir mucho y por lo que mi ganancia es alta.”
Esto no es culpa de quienes ofrecen el servicio. Estos cumplen lo que ofrecen … En términos de actualizaciones de seguridad, de performance y de capacidad, claro está.
Encontrando frustraciones
En pocas palabras, mantener operacional lo que ofrecen es 100% su responsabilidad.
La entidad regulatoria, debe reforzar su proceso, buscando no solo el menor precio sino el mejor. Debe garantizar la eficiencia y los niveles de servicio de acuerdo con la importancia de los procesos que se llevan de cara a la población.
Mientras esto sucede, un total apoyo a los ingenieros y personal técnico que lleva trabajando día y noche, trabajando en varios frentes, buscando soluciones, encontrando frustraciones.
Leave A Comment