Mes: abril 2007

Dios no juega a los dados, pero los CIOs sí.

Y es que ser CIO o Director de Informática, es difícil, muy difícil. Muchas veces me veo envuelto en debates sobre el buen gobierno de IT, buenas prácticas, metodologías, etc y gracias a muchos años en consultoría y tras haber conocido muchas empresas tengo claro que el papel de los CIOs es como he dicho muy difícil.


Hay que tener mucha capacidad empática para poder hablar de lo que está bien y de lo que está mal y sobre todo valorar previamente las circunstancias que han llevado a las decisiones juzgadas y a veces dejar a un lado nuestro lado mas geek y ponernos el sombrero de “alineación con el negocio”.


Uno de los aspectos más duros del trabajo de un CIO es decidir en que se invierten los esfuerzos y recursos, y estas decisiones son claramente promovidas o aletargadas en base a la importancia para el negocio, otras circunstancias “medioambientales” y por último los riesgos o mejor dicho la percepción tangible del riesgo.


Hay mucha metodologías de gestión del riesgo, yo que pretendo tener una visión practica tengo un principio fundamental sobre esto, “puedes no tener una gestión del riesgo digna de un libro, pero no hay escusa para no haber evaluado tus riesgos”, un CIO puede descartar un riesgo o retrasar su mitigación, pero en mi humilde opinión nunca debe permitirse la NO evaluación de sus riesgos, a partir de ahí la más simple de las matrices de riesgos será suficiente.


Fijaros que digo evaluación y no valoración pues muchas veces la gestión de riesgos se ha visto “desprestigiada” por valoraciones absurdas de los riesgos sobre todo en los aspectos económicos, cierto es que estas valoraciones suelen estar siempre promovidas por un partner con ansias de venta o por alguien interno que quiere justificar el gasto, esto no lo comparto, en muchos casos es imposible valorar económicamente un riesgo y antes que poner algo ridículo es mejor no valorar económicamente y exclusivamente valorar los aspectos que si sean objetivos.


Por lo tanto un CIO que ha hecho los deberes y es conocedor de sus riesgos asignara los recursos que considere oportuno dentro de sus posibilidades y prioridades a la mitigación de los riesgos que estime más apremiantes para su organización, es aquí  donde el CIO juega en muchos casos a los dados.


No sé si habéis jugado alguna vez a los dados, yo no, pero supongo que si apuestas dinero, el miedo a perderlo es un buen aliado a la hora de no arruinarte.


El problema es que de los riesgos expuestos en la matriz, usualmente un buen porcentaje de ellos estarán englobados dentro de la categoría de seguridad. Hace años, teníamos virus “sonoros”, cutres  artimañas electrónicas desarrolladas por barreneros de lo informático que tras explorar generaban ruido, salían en los medios de comunicación y afectaban más o menos a la mayoría de empresas, sin embargo como todos sabéis, los chicos malos evolucionaron y  al igual que Harry encontró a Sally los desarrolladores de malware encontraron el dinero, la búsqueda de la rentabilidad los hizo silenciosos y mucho más ingeniosos, en detrimento de esos ruidosos virus y gusanos empezaron a desarrollar programas pensados para no ser visibles, así que pese a vivir uno de los momentos con mayor diversidad y complejidad de “bichos”, con redes zombi de tamaños considerables y el spam o el fraude bancario en aumento, muchos CIOs han perdido el miedo y ahora juegan a los dados más fuerte que antes.


Pero no solo esto, tenemos otros ejemplos de cómo la ausencia de miedo, es un potenciador de la capacidad para asumir riesgo, por ejemplo es una pena ver como hay empresas que han virtualizado porcentajes importantes de sus servidores y por alguna razón han dejado de pensar en los parches de seguridad, firewalls, medidas de tolerancia a fallos, etc de esos servidores o como en muchos casos la virtualización ha pasado por encima de políticas ya consolidadas en las empresas, la facilidad para trabajar con las maquinas virtuales ha terminado desencadenando una pérdida de miedo y el miedo es buen consejero.


Muchas revistas del tipo showroom como Computing o EWeek nos muestran artículos sobre los proyectos de IT realizados por las empresas y no puedo dejar de asombrarme de cómo cajas, bancos, aseguradoras u organismos públicos hablan de emprender o de haber terminado recientemente proyectos para establecer planes de emergencia o centros de recuperación, no es que trate de sacar conclusiones de los medios de publicidad de este nuestro sector, pero sí que coincidiereis conmigo en que resulta curioso encontrarte en una revista al director de informática de tu banco hablando sobre lo mal que estaba su centro de respaldo antes de realizar un proyecto.


No me entendáis mal, es imposible acometer y solventar todos los riesgos, siempre he odiado los alarmismos y siempre he tratado de equilibrar la balanza entre seguridad y riesgo, solo digo que hay riesgos asumibles y otros que no.


Hay cosas que no asumiría y que por suerte siempre he tenido solucionadas, por ejemplo en mi opinión de forma coherente para las necesidades de cada empresa no disponer de un plan de contingencia es jugar a los dados, no tener una política intachable de backups y recuperación es jugar a los dados y no disponer de un sistema de actualización de parches, aplicaciones y de herramientas anti-malware es jugar a los dados, asumir riesgos en la seguridad perimetral y en los servidores expuestos al exterior es sin duda tambien otro asunto cuanto menos peligroso.


El otro día me contaban de una gran empresa que tras tener que poner en marcha parte de su plan de contingencia se había encontrado con que este no funcionaba, ¿Cuánta gente prueba sus backups recuperándolos?, ¿Cuántos tienen procedimientos de recuperación del AD o de por ejemplo servidores de licencias o firewalls?, ¿Cuántos cuentan con WSUS o SMS pero no revisan los informes de estado? , ¿Cuántos no hacen simulacros de emergencias?


¿No se estará jugando a los dados con la seguridad?

Cosas Interesantes 16/04/2007

Hoy en cosas interesantes: Instalar IE en Ubuntu, Mejora el rendimiento de Outlook 2007, Otro generador de codigo para probar, Un par de grids interesantes, despues de google hacking- LiveSearch hacking, Off-Topic Video 3d sobre la vida interior de las celulas.


Instalar IE en Ubuntu.


Cuidado con la licencia…..


http://www.howtoforge.com/ubuntu_internet_explorer


Mejora el rendimiento de Outlook 2007.


Un parche que vendra muy bien, por que la verdad es que es cierto que a veces se ponia un poco tonto al borrar o mover correos entre carpetas.


http://www.microsoft.com/downloads/details.aspx?FamilyID=c262bcfd-1e09-49b6-9003-c4c47539df66&DisplayLang=en


Otro generador de codigo para probar.


Me encanta probar generadores de codigo, se sacan buenas ideas y talvez algun dia encontrare el que me guste…. 


Cooperator Framework.


The main features are:



  • Use business entities.
  • Full typed Model (Data Layer and Entities)
  • Maintain persistence across the layers by passing specific types( .net 2.0/3.0 generics)
  • Business objects can bind to controls in Windows Forms and Web Forms taking advantage of data binding of Visual Studio 2005
  • Supports any Primary Key defined on tables, with no need to modify it or to create a unique field.
  • Uses stored procedures for data access.
  • Supports concurrency.
  • Generates code both for stored procedures and projects in C# or Visual Basic.
  • Maintains the model in a repository, which can be modified in any stage of the development cycle, regenerating the model on demand.
  • Support for MS SQL Server only in this version.

http://www.codeplex.com/cooperator


Un par de grids interesantes. 


Que gran invento el codeproject


Sample Image - maximum width is 600 pixels


http://www.codeproject.com/cs/miscctrl/csharpgridcontrol.asp


Sample Image - OutlookGrid1.png


http://www.codeproject.com/cs/miscctrl/OutlookGrid.asp


Despues de google hacking- LiveSearch hacking.



http://blogs.microsoft.co.il/blogs/alikl/archive/2006/12/23/This-is-How-They-will-Hack-Your-Web-Site.aspx


Off-Topic Video 3d sobre la vida interior de las celulas.


El video tiene algunas partes muy conseguidas.


http://multimedia.mcb.harvard.edu/anim_innerlife_hi.html


 


 

Usando Infopath en tus aplicaciones Windows o Web

Ahora me ha dado por el InfoPath 2007 y el Form Server y tengo que decir que se pueden hacer cosas muy interesantes muy rápido, lo cual siempre es algo a tener en cuenta.


Una de las cosas que tenía ganas de aprender es como usar estos formularios dentro de nuestras aplicaciones, esto es algo que había visto en algunas soluciones de Microsoft, la razón es que a parte de poder usar funcionalidades de SharePoint como la firma o los canales de envió ya programados, etc. el uso de InfoPath embebido puede ser una posible solución a aquellas aplicaciones que tengan que aportar funcionalidades de personalización por parte del cliente.


Aquí tenéis los enlaces:


Embeber InfoPath en Windows.


http://msdn2.microsoft.com/en-us/library/aa701079.aspx


Embeber InfoPath en Web.


http://msdn2.microsoft.com/en-us/library/aa701078.aspx


 

Como arreglar lo del DNS antes de que empiece el fin de semana.

Jesper, nos da una solución que podemos aplicar en todos los DC a la vez y estar «tranquilos» el fin de semana.


Esperemos que no salga nada que use este fallo.


http://msinfluentials.com/blogs/jesper/archive/2007/04/13/turn-off-rpc-management-of-dns-on-all-dcs.aspx


 Por si alguno no esta al tanto aun, aqui teneis la referencia a la vulnerabilidad.


http://www.microsoft.com/technet/security/advisory/935964.mspx


 

Impresionante; nuevas noticias sobre la estrategia de virtualización de Microsoft.

Windows Server BLOG:  As the person who oversees the development plans, teams and strategy for Microsoft’s virtualization software on desktops and servers, I want to update everyone on the timing of our server virtualization offerings. I know that many of our customers and partners will hear of these changes from their usual Microsoft contacts, but I wanted to personally explain some of the reasons behind the new schedule for Windows Server virtualization (codename Viridian) and Virtual Server 2005 R2 service pack 1. But first, here’s where we stand today:


The public beta of Windows Server virtualization will ship in the second half of 2007, not in the first half as previously disclosed.

The final version of Virtual Server 2005 R2 service pack 1 now will be available in Q2, not Q1 as previously stated. In the interim, customers and partners can download a Release Candidate (RC) version later this month – this is code complete and an update to the current beta 2.

Up front, it’s important to know that Windows Server “Longhorn” remains on schedule for beta 3 will be this half and RTM in the second half. Iain McDonald and team are doing a great job delivering the next-generation Windows Server OS, which includes in-demand features like TS Gateway, Server Core, Network Access Protection, IIS 7.0, new server manager and failover clustering improvements … to name a few. All the work being done here is designed to deliver a safer, more secure infrastructure and simplify admin tasks. This work will help make customers’ experiences with Windows Server virtualization even better.                              


So, you ask, why the schedule change to the beta of Windows Server virtualization? The primary drivers are around meeting our internal goals for performance and scalability.  In an IT environment of ever-growing multi-core processor systems, Windows Server virtualization is being designed to scale across a much broader range of systems than the competition.  We’re designing Windows Server virtualization to scale up to 64 processors, which I’m proud to say is something no other vendor’s product supports.  We are also providing a much more dynamic VM environment with hot-add of processors, memory, disk and networking as well a greater scalability with more SMP support and memory.  Check out Jeff’s demo of Windows Server virtualization running 64-bit Longhorn with an 8-core virtual machine. We still have some work to do to have the beta meet the “scale up” bar we have set. Also, we’re tuning Windows Server virtualization to run demanding enterprise IT workloads, even I/O intensive workloads, so performance is very important and we still have some work to do here.


As pointed out earlier, select partners have been testing a private beta version of Windows Server virtualization since December. We’ll continue to rely on partner input as we reach the beta milestone. And a s the public beta for Windows Server virtualization nears, we’ll provide guidance on how to add Windows Server virtualization to your systems running Windows Server “Longhorn.” Windows Server virtualization remains on schedule – to be released within 180 days of the release of “Longhorn.”


Today we’re also updating the delivery schedule for the service pack of Virtual Server 2005 R2. It’ll be available later this quarter.  In this instance, we required some additional time to test the new operating systems that will be supported with the service pack of Virtual Server R2. We’ve added support for three additional operating systems – SUSE Linux Enterprise Server 10, Solaris 10 and the recent CTP build of Windows Server “Longhorn.”  An interesting point here — in less than one year we’ve seen more than 15,000 downloads of the Linux add-ins for Virtual Server 2005 R2 , which indicates strong interest to consolidate Linux workloads on Windows Server.


We’ve made numerous enhancements with Virtual Server R2 SP1 that allow it to scale (64 VMs on 32-bit Windows Server hosts; 512 VMs on x64 Windows Server hosts) on systems with more memory (up to 256 GB) and more cores.  And we’ve added support for hardware assisted virtualization in the form of Intel VT and AMD-V.  The team is also very proud of their delivery of Virtual PC 2007 and the tremendous interest in the product, with over one million downloads in the first 38 days.


I remain confident that Microsoft’s strategy and areas of investments will help customers’ IT systems become more dynamic and self-managing. I’ll talk more about these areas on May 2 during a keynote address at the Server Blades Summit 2007 in Anaheim. I hope to see you there.

Sobre el lio del SP2 de SQL 2005

Algunos consejos:


I don’t have SQL Server 2005 SP2 yet



  1. Apply SP2 from http://www.microsoft.com/downloads/details.aspx?familyid=D07219B2-1E23-49C8-8F0C-63FA18F26D3A&displaylang=en
  2. Apply GDR2 from http://support.microsoft.com/?kbid=934458 (Microsoft Update will also notify you of this after you applied SP2)
  3. You will now be on version 9.00.3054

I installed SP2 but don’t know if I applied this before March 5th



  1. Don’t worry about checking when you applied SP2, just go right to GDR2 at http://support.microsoft.com/?kbid=934458 (Microsoft Update may have already notified you)
  2. You will now be on version 9.00.3054

I have applied SP2 and the GDR1 fix




  1. You should have a version of 9.00.3050


  2. If you do, then apply GDR2 at http://support.microsoft.com/?kbid=934458 (Microsoft Update will also notify you of this)


  3. You will now be on version 9.00.3054

I haven’t installed SQL 2005 SP2 so I’m up at that top one.


 

Cosas Interesantes: 11/04/2007

Hoy en cosas interesantes:  Diseñando cubos en SQL Server para usarlos en PivotTables de Excel 2007, Creador de hyperenlaces para RDP, Webcasts «¿Que hay de nuevo en Orcas?»,  Un analisis de Malware paso a paso por Mark Russinovich, Mejoras en la gestión del ancho de banda en los terminal services, PPT de presentación de las Enterprise Lib 3.


Diseñando cubos en SQL Server para usarlos en PivotTables de Excel 2007.


http://www.microsoft.com/downloads/details.aspx?FamilyId=2D779CD5-EEB2-43E9-BDFA-641ED89EDB6C&displaylang=en


Creador de links para RDP.


http://wmorein.com/rdpcreator/


Webcasts «¿Que hay de nuevo en Orcas?».



Un analisis de Malware paso a paso por Mark Russinovich.


Muy interesante.


http://blogs.technet.com/markrussinovich/archive/2007/04/09/741440.aspx


Mejoras en la gestión del ancho de banda en los terminal services.


Claves del registro que permiten garantizar el ancho de banda usado para el display de forma que no afecte tanto al rendimiento el imprimir.


http://blogs.msdn.com/ts/archive/2007/04/09/bandwidth-allocation-for-terminal-server-connections-over-rdp.aspx


PPT de presentación de las Enterprise Lib 3.


http://www.microsoft.com/downloads/details.aspx?FamilyID=c6d1aec2-e02e-4046-bcf8-174a3d37cdf3&DisplayLang=en


 


 

Altiris es ahora parte de Symantec

«Dear Valued Customer,


We are pleased to announce that the acquisition of Altiris has been completed. Now that Altiris is part of Symantec, we believe we can deliver even greater value to your business. Symantec provides you with the capability to protect your endpoints with leading security, compliance, backup and recovery for your mobile devices, PCs, servers and storage assets. The combination of these offerings with Altiris’ solutions enables you to both protect and manage your endpoints.

As we move forward, we are fully committed to making the transition as smooth as possible. Our goal is to allow you to do business the same way. To that end, Altiris will operate as a separate business unit. You can expect to receive the same level of sales, services, and support as you have previously received.

During the coming months, we will be focused on identifying product and service opportunities that leverage the best of both Altiris and Symantec offerings. You can expect to hear more from your account team.

To answer any immediate questions you may have, we have created the following customer resource Web site: http://www.symantec.com/altiris. We hope this site, which includes an in-depth Customer FAQ, will serve as a valuable resource for you. As always, if you have any other immediate questions, please contact your sales representative.

Symantec is committed to further developing and enhancing your capabilities to both protect and manage your endpoints today and in the future. We greatly appreciate your business and look forward to establishing an even greater partnership with you.

Best regards,

Mike Samuelian
Vice President, Sales
Altiris Business Unit
Symantec Corporation

Enrique Salem
Group President, Worldwide Sales and Marketing
Symantec Corporation»

Tengo un amigo al que se la ha puesto mas interesante aun el trabajo 🙂

Articulo en PCWorld sobre Clustering

Para los que esteis interesados, en la edición de este mes se incluye un articulo mio sobre clustering, el articulo habla de todos los tipos de clusters que se pueden hacer con windows; CCS, MCS, MNS, NLB, RR, etc.


La revista cuenta tambien con articulos de los siempre interesantes Chema Alonso y Ricardo Varela asi como otros articulos que seguro que os gustaran.


Ademas este mes tambien hay un articulo de opinión del Abuelo (Jose Parada) que nos hace pensar en esto de la tecnologia y sus implicaciones.