Acuerdos de Nivel de Servicio

Desde que estudié y obtuve la certificación ITIL Foundation muchas veces he escuchado el término SLA o ANS referente a los Acuerdos de Nivel de Servicio o Service Level Agreement. El SLA es un contrato que se establece entre un proveedor y un cliente donde se acuerdan los servicios que el proveedor debe suministrar al cliente, además de los servicios, en este tipo de contratos aparece información detallada de los tiempos de respuesta, tiempos de resolución, etc. Por otro lado, el SLA permite medir, tanto al proveedor como al cliente, la calidad del servicio suministrado/entregado y esta es la única manera de mejorar el servicio, ya que todo aquello que no se puede medir no se puede mejorar.

Desde mi punto de vista, en un SLA tan solo se debe hacer referencia a los servicios ofrecidos, es decir, a los servicios que recibe el usuario y no a cómo el proveedor ofrece los servicios. Por ejemplo, suponiendo que tengo contratado el servicio de envío de la prensa en formato papel a mi casa todos los días antes de las 8 de la mañana, yo como usuario puedo exigir y medir la entrega del periódico a tiempo, pero no debería importarme si el chico que me entrega el periódico viene en bicicleta, en coche o en camión. Trasladándolo al mundo TI, si contrato un servicio de acceso a Internet no debería importarme si la tecnología utilizada por el proveedor es tecnología puntera con software propietario o es tecnología en software libre, lo que importa es que el servicio se entrega con la calidad exigida. Luego podemos entrar en la ética de cada persona, donde entran las preferencias de cada uno, el cliente puede no importarle contratar servicios baratos donde las condiciones laborales de los trabajadores son pésimas o por el contrario querer que siempre le atiendan chicos altos y rubios. En cualquier caso, en el SLA tan solo se debe fijar el nivel de calidad acordado de dicho servicio.

Fijar el SLA no es nada sencillo, para curarnos en salud podemos ser ambiciosos y exigir al proveedor por ejemplo la resolución de un problema con un tiempo de resolución de 4 horas, pero lógicamente este contrato siempre debería ser más caro que uno donde la resolución del problema sea en 8 horas, sino probablemente el proveedor nos esté engañando. Como cliente, para ajustarnos lo máximo posible es razonable realizar previamente un estudio desde el que conocer las perdidas por la no disponibilidad del servicio o la degradación de este, y de esta manera determinar las penalizaciones como recompensa de un mal funcionamiento del servicio. Como ejemplo reciente tenemos que Google perdió más de 400.000 euros por una parada de 5 minutos, probablemente por las cantidades que deba abonar a sus clientes como penalizaciones por la no disponibilidad de sus servicios.

Al estar acostumbrado a tratar con SLA en el sector de las TI me parece increíble que en otros sectores no se establezcan este tipo de acuerdos entre proveedores y clientes. Por ejemplo, el reciente incidente donde siete pueblos de las Vegas Bajas han estado sin agua potable durante una semana debería tener penalizaciones para la empresa adjudicataria del servicio, en cambio se aprueba 65 millones de inversión para la mejora del suministro de agua sin que aún se tenga responsables del incidente. Creo que si se hubiera gestionado adecuadamente la continuidad y disponibilidad del servicio, no se hubiera producido el incidente o se hubiera restablecido con mayor brevedad.

En cualquier caso, parece ser que 31.000 ciudadanos han podido estar en plena ola de calor sin agua potable en sus casas, me pregunto ¿que hubiera pasado si hubieran estado sin televisión o acceso a Internet? Mejor no pensar la respuesta ...

Punto de Presencia de Internet

Un punto de presencia de Internet es un lugar donde un proveedor ofrece servicios de acceso a Internet a grandes velocidades. Es un lugar situado estratégicamente en una ciudad, compuesto por un Data Center y varios armarios de comunicaciones, todo perfectamente redundado, monitorizado y securizado por ingenieros que garantizan la disponibilidad del servicio, aprovechando al máximo los recursos disponibles.

La cantidad de servicios que se pueden ofrecer desde un punto de presencia de Internet es de lo más variopinto. Muchas empresas dejan “caer” sus servidores y aplicaciones en centros de datos donde existe un punto de presencia, para ofrecer sus servicios al resto del mundo, permitiéndoles crecer rápidamente debido al gran ancho de banda disponible en estos centros, ya que las empresas pueden comenzar contratando 3 Mbps simétrico y si el negocio crece, poder aumentar el ancho de banda, por ejemplo a 100 Mbps simétricos, sin realizar ningún cambio sobre la infraestructura.

Como podemos intuir, en este tipo de centros de datos la seguridad juega un papel muy importante. Comenzando por la gran cantidad de empresas que alojan sus servidores en estos CPDs, que la competencia aunque es sana, mejor no tener que desconfiar de ella, así que a cerrar las puertas de los rack, y obligatorio cámaras de seguridad y registro de acceso a los CPD. Además, una correcta monitorización del consumo de ancho de banda por cada una de las empresas y una configuración adecuada de la gestión de ancho de banda es imprescindible para realizar la Gestión de la Capacidad convenientemente. Por último, la obtención de certificaciones como la ISO 27001 e ISO 20000 permite a los proveedores de acceso a Internet ofrecer acuerdos de nivel de servicio (SLA), proporcionando mayor confianza a las empresas de que el servicio de acceso a Internet está siendo medido y por lo tanto se puede ofrecer con garantías.

En Extremadura también contamos con un punto neutro de Internet, no es NTT Comunications, ni Linx, DE-CIX o amsix, sino Cogent que tiene un punto neutro en Badajoz conectado por fibra óptica a una red en anillo con Lisboa y Sevilla, con capacidades de ancho de banda de 10 Gbps.

 

Como podemos ver, los puntos de presencia a Internet deben contar con unos requisitos indispensables en cuanto a ubicación, seguridad, disponibilidad, etc y en este caso la red de Cogent, que se encuentra entre las 5 mejores del mundo y conectada a más de 4660 sistemas autónomos, pasa por Badajoz.

SDN & OpenFlow

El mundo de la tecnología avanza a pasos de gigantes, sin embargo las redes no han sufrido muchos cambios en los últimos años. Es verdad que han surgido nuevos protocolos, y optimizado y mejorado muchos de ellos, pero desde mi punto de vista con el nuevo paradigma de SDN y OpenFlow sí que veremos un cambio revolucionario en las comunicaciones.

Las redes tal y como las conocemos hoy en día están basadas en paquetes, mientras que con SDN y OpenFlow estarán basadas en flujos, adaptando las comunicaciones a las necesidades reales de los servicios. Para ello debemos diferenciar claramente los conceptos de SDN y OpenFlow: 

• SDN o Software-defined networking es una capa software que permite a los administradores de redes gestionar todos los componentes de red de una manera centralizada adaptando los flujos a los servicios que corren por la red. Para ello los switches y routers tan solo deben realizar las funciones de data plane delegando las tareas del control plane y management plane al SDN. De esta manera los administradores de red mediante el SDN pueden ejecutar sentencias como las siguientes: 

• if IP_addr == 192.168.1.1 → re-write to 10.10.0.1 and forward port 3 

• if Eth Addr == 00:34:56 → add VLAN id 3 and forward port 2

Como podemos ver, con SDN podremos realizar todo tipo de acciones, incluido aquellas que realizan equipos dedicados como cortafuegos y balanceadores.

• OpenFlow es el protocolo utilizado por una controladora central para programar el comportamiento de los dispositivos de red como switches y routers. Además de ser un protocolo estándar, dispone de una API que permite a los desarrolladores y fabricantes crear sus propias aplicaciones permitiendo optimizar los flujos de los servicios. Obviamente para aprovechar esta funcionalidad es necesario que los dispositivos de red soporten OpenFlow en sus sistemas operativos embebidos.

En los próximos años veremos si las redes SDN son ampliamente aceptadas e implantadas en las organizaciones, o pasará como con IPv6 retrasando la implantación de este nuevo modelo. Por el momento varios fabricantes como HP, Cisco o IBM están incorporando OpenFlow a sus dispositivos de red, y compañías como Google ha comenzado a utilizar OpenFlow en la red interna utilizada para la replicación de CPDs por todo el mundo.

¿Alguno de vosotros ha implantado o utilizado OpenFlow? Cuéntanos tu experiencia!!!

Fraude en la Banca Electrónica

La banca electrónica es un caramelo para los delincuentes, ya que existen métodos “sencillos” de engañar a los usuarios para hacerse con su dinero, donde la mayoría de las veces son delincuentes sentados en el sofá de sus casas que difícilmente serán atrapados o descubiertos por los cuerpos de seguridad del estado.

¿Alguna vez habéis pensado qué pasa cuando a un banco le roban dinero? Si le han robado ¿de dónde obtiene el dinero para devolvérselo a sus clientes? Muy sencillo, todos los bancos tienen un seguro que se hace cargo de las pérdidas monetarias ocasionadas por los robos, independientemente sean robos físicos o digitales. Aquí es donde viene la dificultad, elegir qué seguro contratar, ya que dependiendo de la cantidad de dinero que estimamos que va a perder el banco se contratará un seguro u otro. Y aquí es donde entra en funcionamiento el rol del CISO de la entidad bancaria, para realizar los análisis de riesgos, e intentar reducir los fraudes para finalmente poder contratar un seguro más asequible. En definitiva, el CISO debe intentar reducir las pérdidas introduciendo tecnología y asegurando las operaciones, sin embargo la inversión necesaria para ello no debe superar las pérdidas estimadas inicialmente, sino no hay tecnología que valga y todo se queda como está.

Por otro lado, si el objetivo de negocio del banco es mantener sus clientes, obtener nuevos clientes y conservar el dinero dentro del banco, no debemos dificultarle a los usuarios el acceso a la banca electrónica, estableciendo controles de seguridad complejos, porque de ser así los clientes se cambian de banco. Esta es otra de las tareas arduas del CISO de la entidad bancaria, ya que tiene que decidir qué mecanismos de control y autenticación aplicar a la banca electrónica para mantener la usabilidad de las aplicaciones, es decir, podríamos implantar OTPs y PKIs para el acceso a la banca electrónica, pero todos sabemos que si esto fuese así la mayoría de las personas no utilizarían este servicio.

Por último, la correlación de eventos, no de logs, realizadas por los sistemas SIEM en las entidades bancarias es de suma importancia, ya que deben controlar el comportamiento “normal” de cada usuario para comprobar si las operaciones realizadas en la cuenta bancaria de sus clientes se corresponde con la operativa habitual de estos. Es decir, si un usuario normalmente realiza una transferencia de 500 € a principios de mes y un día autoriza abonar 24000 € a una cuenta de Western Union deberían saltar las alarmas en la entidad bancaria, ya que posiblemente se trata de algún tipo de fraude.

Resumiendo, la banca electrónica es un servicio que ha llegado a las entidades bancarias para quedarse, cerrar este servicio supone un paso hacia atrás para el banco, por lo que todo el personal IT debe trabajar en sintonía para evitar el fraude y mantener la imagen, reputación y confianza de la entidad. Aunque aún estamos en fases tempranas, pienso que la banca online evolucionará significativamente en cuanto el Banco Central Europeo, supervisor de las entidades intervenidas por el FROB, y el Banco de España como regulador, obligue por ley a las entidades financieras a publicar todos los incidentes de seguridad.