viernes, octubre 30, 2009

Medidas Anti-crisis en LA

Supongo que a esta hora del día ya todos os habréis enterado de que el ayuntamiento de L.A. (siempre quise ir allí, dejar un día esta ciudad) ha decidido contratar Gmail como correo para los 30.000 empleados de la ciudad.
¿Cómo? ¿Estamos locos? ¿Es good enough?

Sé que Gmail tiene muchos fans, y que para gran parte de ellos es el culmen de la evolución de la ciencia [Gracias Einstein, gracias Galileo, pero ya hemos llegado al final del camino… ah, no, que viene Wave] pero la realidad es que no tiene nada que ver con un sistema de comunicaciones corporativo como es Exchange "Conan" Server.

Lo cierto es que no pretende ser este post ningún artículo de competencia entre Gmail y Exchange "Poli de Guardería" Server, ya que en primer lugar sería una pelea baladí y torticera pues Gmail habría que compararlo con Live y no con algo infinitamente superior como Exchange “Terminator” Server 2003, 2007 o 2010 (cualquiera de ellos).

Lo que más me ha llamado la atención de esta noticia ha sido el dónde y el cuándo.

Dónde:

En Los Ángeles, capital central de los negocios de California, estado dónde Google paga la mayor parte de los impuestos de beneficios que obtiene a nivel mundial. Luego hay algo claro, lo que es bueno para Google es bueno para California. Este concepto que tal vez suene extraño se puede ver en nuestro país con las ubicaciones de las fábricas de coches. Si una región tiene una fábrica de Citröen, entonces la mayoría de los coches que se venden allí son Citröen y todos te recomiendan Citröen. Lo mismo con la marca que elijáis.

Cuando:

Pues en plena crisis económica, cuando más se necesita recaudar por parte de las administraciones públicas y haciendo un anuncio justo el día del aniversario de Internet. Joder, estos tipos son unos reyes del marketing. Si mucha gente decide seguir el ejemplo de LA (simpre quise ir allí, ¿lo he dicho?) con lo que recaude de impuestos a Google puede hacer que le salga gratis y encima gane pasta California. Eso es un plan ROI bien montado.

La verdad es que me ha parecido un movimiento estratégico muy bien jugado por los políticos de California y por la propia Google digno de que le den un premio de marketing, porque seguro que muchos siguen el ejemplo de irse a Google porque ya lo hizo “el ayuntamiento de L.A”.

Por último, es importante recordar, que para conseguir este acuerdo Google ha tenido que cambiar, de forma especial para ellos, las políticas de seguridad y privacidad, pues, como ya se sabe desde hace mucho tiempo, no son las más adecuadas para aplicar alguna legislación como la LOPD o la LSSI de nuestro país. Y a los usuarios, habrá que enseñarle que correos que no entran en Exchange ni en broma, se los van a comer en Gmail.


Mandadle una invitación de Wave a Conan, que ya tiene el Gtalk

Saludos Malignos!

UPDATED: No me podía resistir a poner la canción, que yo también fui joven

18 comentarios:

Jose dijo...

En España muchos ayuntamientos, diputaciones y universidades(cada dia mas) tienen su correo en Google y no es ninguna maniobra publicitaria, ni es porque pagan sus impuestos aqui.

En el caso de LA se ahorraban un total de 6 millones de euros en 5 años.
Mira las 2 últimas páginas de este informe realizado por la oficina administrativa de Los Angeles.
http://clkrep.lacity.org/onlinedocs/2009/09-1714_rpt_cao_7-9-09.pdf

Maligno dijo...

@Jose, que en España tengan su correo en Gmail, con la legislación española sobre la mesa no es quizá una buena idea. Fíjate si es así que hasta han tenido que cambiar las políticas para el Gmail del ayuntamiento de LA. Ya veremos que les pasa a esas empresas/organizacioes cuando la agencia solicite logs y copias de mensajes.

En el caso de LA tendrá o no un ahorro de costes en 5 años, pero lo tienen en perdida de funcionalidades con respecto a lo que ofrece un Exchange Terminator Server y eso no está cuantificado en el informe. La productividad cuenta, el poder usar derechos digitales cuenta, el poder cifrar tus correos en pasarela cuenta, etc... Es reducir pasta por el Good Enough.

Y aun así, todo será muy bonito, pero la realidad es que el ROI le viene a LA si la gente empieza a seguir su ejemplo en los impuestos que cobra a Google. Me parece una cosa bien pensada por ellos.

n00b dijo...

La capital de California es Sacramento, LA es la ciudad más poblada

Jose dijo...
Este comentario ha sido eliminado por el autor.
Jose dijo...

Me gustaria conocer que articulos de la legislación española no cumplen o que derechos digitales dejas de poder ejercer con los productos de Google App Premium.
A mi esto me recuerda mucho al articulo de "El cuento de la lechera 2.0" que no tenia ni pies ni cabeza en cuando a la interpretación de la ley.

Christian Hernández dijo...

Vaya!, me gustará ver cómo en un ayuntamiento acceden a una libreta de direcciones como la GAL usando Google, seguro que no habrá ningún contacto repetido si cada uno tiene que añadir los contactos de su dpto en su cuenta...y con las listas de distribución ni te cuento!

Claro que pueden delegar la creación y mantenimiento de contactos a una persona y que haga el trabajo para todos...

Bueno, si es lo que tienen se tendrán que apañar, pero definitivamente hay cosas mejores y el dinero que se invierte en ellas está sobradamente pagado por la productividad extra que se obtiene.

salu2

Anónimo dijo...

Hey Malingo, a ver si un día nos cuentas porqué es mejor elegir Exchange en lugar de Zimbra o Google, independientemente de la filosofía y de las religiones, es decir, pasta vs. características. Exchange Terminator, en algunos casos no tiene porqué ser la mejor opción.

Maligno dijo...

@Jose, el número de mecanismos de protección que se tienen que poner a un fichero que tiene un listado de datos o una agenda de contactos con datos "extras" puede exigir una serie de mecanismos de protección que hay que ver si se pueden hacer con las herramientas de los servidores.

Para estar seguro de esto he hecho un par de consultas telefónicas y me han confirmado que a día de hoy Google y "otros" están mirando con la AGPD si la interpretación de la ley permitiría añadir medidas para poder ofrecer el derecho de consulta, manipulación, edición de datos con los servidores fuera del país.

Esto contando con el App Premium, ya ni hablemos del Gmail con el dominio renombrado que usan algunos que se "pasan a Gmail".

@Noob, lo cambio, gracias!

Saludos!

Ole dijo...

Ey ey maligno, no es muy valida una opinion (por muy bien desglosada y datos reales tenga) en la que sabemos que se va a concluir antes de empezarla a leer. Lo siento, aunque tuvieras razon eso lo tengo que leer por y comprobar por mas lados. De todas maneras es bueno que se diga porque asi pica la curiosidad y uno ve distintos cristales... pero todos sabemos que estas bajo el cristal de Spectra ;).

De todas formas Spectra lleva haciendo tratos muchos mas sucios. Cuando empiecen a dar premios a marketing sumergido y estrategias... google se deberia esperar a todos los premios honorificos a spectra ;)

Anónimo dijo...

Aun hay algunos viejos que aun le creen al diablo, y ahora que todo lo da gratis, pues aun mas!

http://decabo.com/blog/wp-content/uploads/2008/07/google_dilemma.jpg

Chema: Don´t be evil!

Anónimo dijo...

Joder Chema que exchange tiene muchos muchisimos problemas y cuando hablas de un producto de Microsoft siempre son todo ventajas, se objetivo, comprendo que esos productos mantienen tu empresa pero se supone que eres independiente.

Maligno dijo...

@Anónimo, empieza a enumarear problemas de Exchange, que i64 lleva usándolo los últimos 6 años y sólo vemos ventajas....

Anónimo dijo...

Casi de acuerdo con el comentario. Me parece increíble y contraproducente, pero hay mucha gente que cree en la nube. Es el futuro dicen...

pero también te digo que hay muchísimas universidades de USA, y también de España que usan algo llamado Postfix, que no le tiene nada que envidiar al Exchange.

Undercoder dijo...

Muy buenas a todos

Esta respuesta es para @Jose relativa a la legislación y la aplicación de la LOPD (mejor dicho de su reglamento de desarrollo 1720/2007), en relación al mantenimiento de los datos de carácter personal.

Alguno se estará pensando que tiene que ver la LOPD, con el correo electrónico, pero desgraciadamente mucho. El correo electrónico se convierte (aunque no debiera ser tal), en un mecanismo para la recepción de información asociada a datos personales. El mero hecho de que en muchas circunstancias (hablando desde la experiencia), esta información "temporal", por malos hábitos o procedimientos, pierden su carácter de temporalidad. Quedarán contemplados como datos sujetos a legalidad en las mismas condiciones que el resto de los datos inscritos como ficheros en la propia AEPD.

Aún siendo conscientes de la posibilidad del empleo de los mismos con el carácter de temporalidad, una organización deberá atenerse a lo citado en el artículo 87, sobre Ficheros temporales o copias de trabajo de documentos, del citado Reglamento.

Hay que tener en cuenta tal y como cité anteriormente desde la experiencia, que las empresas (o más bien los empleados) de forma errónea mantienen copia de datos sujetos a legalidad en los correos electrónicos (por si se pierden o porque así los puedo recuperar en cualquier momento han sido algunas respuestas en auditorías tipo LOPD). Si no fuera así (cuantos usuarios borran correos con datos personales de clientes), los correos indudablemente mantienen su carácter de fichero temporal.

continuará...

Undercoder dijo...

Esta parrafada viene a condicionar la necesidad de contemplar la figura del correo como elemento sujeto a dato de caracter personal. Teniendo en cuenta solamente los datos de nivel bajo, algunos ejemplos en el articulado del reglamento que debieran cumplirse:

"Artículo 91. Control de acceso.

1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.

5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio."

Existen garantías para que alguien que no sea de mi organización pueda acceder a unos datos que no están en mi servidor???

"Artículo 93. Identificación y autenticación.

1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible."

Evidentemente yo puedo, como administrador de mi empresa, condicionar a que mis empleado cambien la contraseña del correo de "Gmail", ¿una vez al año? Lo siento de antemano, pero no confío en el que crea en la buena fe de que los usuarios van a cambiar la contraseña de buena ley sin ser forzados a ello, una vez como mínimo al año. Claro está sin tener en cuenta como es el sistema de almacenamiento de credenciales y su mantenimiento.

"Artículo 94. Copias de respaldo y recuperación.

1. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

2. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad.

3. El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos."

Algo que por supuesto puedo controlar... o va a ser que no.

Bueno estos son algunos ejemplos sujetos a legalidad relativa a LOPD. Pero vamos algún ejemplo podría ser extrapolado de la LSSI-CE y peor aún de la LISI.

Siento la parrafada.

Muy buen fin de semana a todos.

Jordi dijo...

Chema,

recuérdame que te lleve al Merbellé la próxima vez.
EH!!! sin el asiento de atrás del cadillac.

Uno también ha sido joven!! en "mi ciudad"

Anónimo dijo...

Hola a todos. He venido a parar a esta página de casualidad y me he quedado alucinado con el post sobre exchange. Solamente decir que llevo 17 años administrando sistemas y en 2 años ya he migrado 7 exchanges de facultados universitarias y ayuntamientos a postfix y zimbra y ¿porqué? porque estaban desesperados. Después de pagar un pastón los problemas eran inifnitos... solamente una cosa, no tengo nada que ver con zimbra, solamente lo instalo en mis clientes y, sorpresa, es gratis, rápido, estable y bonito y... es libre!
lo siento por lo que duele pero los que solo saben darle al next lo tienen crudo (las acciones de redhat aventajan ya a las de microsoft).

saludos.

Maligno dijo...

@Anonimo, tb te puedo dar referencias de universidades que han pasado a Exchange.

Según me soplan, en la última reunión de Red Iris, los admin o tenían postfix o Exchange. Y los buenos admin, no tenían ninguna queja de Exchange.

Saludos!

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares