Los peligros de los PSA

La última palabra de moda en los círculos Internet es ASP o PSA para los españoles. A los veteranos de la programación web, ASP les resultará familiar: Active Server Pages, la respuesta de Microsoft a la creación dinámica de páginas web. Pero no, no se trata de ese ASP sino de Application Service Providers o Proveedores de Servicios de Aplicaciones (PSA).

¿Que no tiene dinero para comprar una aplicación de ERP o de CRM? No se preocupe, un PSA es la respuesta. ¿Que no puede invertir tantos recursos económicos y humanos en lanzar su aplicación de comercio B2B? No se aflija, un PSA lo hace por usted. ¿Que sus servidores y líneas de comunicación no pueden soportar el tráfico de la aplicación que está proyectando? No hay problema, un PSA sí.

PSA representa la tendencia más novedosa en modelos de negocio basados en Internet. Se fundamenta en ofrecer una solución de red integrada y total, que incluya software, hardware, cableado, mantenimiento, soporte, conectividad a Internet con acceso fijo y/o móvil (WAP), actualización constante tanto de los programas como del hardware y otros servicios igualmente interesante. Básicamente, se trata de servir en alquiler software especialmente caro, personal cualificado, servidores y canales de acceso de gran capacidad, de manera que la empresa que contrata al PSA se evite esas inversiones iniciales, que de entrada pueden resultar prohibitivas. La idea consiste pues en alquilar en vez de comprar, externalizar en vez de afrontar grandes gastos.

Las ventajas son evidentes. Aplicaciones o servidores que hasta ahora sólo estaban al alcance de grandes empresas con recursos ilimitados pasan a estar disponibles para cualquier pequeña o mediana empresa, derribando así la barrera de entrada en nichos de mercado antes cerrados. Adquirir una aplicación de Planificación de Recursos Empresariales (ERP) o de Gestión de Relación con Clientes (CRM), un lujo al alcance de unos pocos, con PSA se haría realidad para todos. Desplegar una sofisticada aplicación de comercio electrónico, con la consiguiente inversión en programas y servidores, mano de obra, mantenimiento, etc., pasaría a ser una posibilidad asequible con PSA, al alcance de pequeños empresarios de limitados recursos de TI. La PSA hace frente a las necesidades de adquirir servidores más potentes o canales de comunicación de mayor capacidad.

PSA se erige así en una herramienta de democratización, eliminando muchas de las barreras económicas o tecnológicas de adquisición, operación y mantenimiento de aplicaciones o recursos reservados tradicionalmente a los grandes. Si tiene en su empresa un navegador y conexión a Internet, ya puede operar una gran aplicación albergada en un PSA. Pero no todo pueden ser ventajas, ¿cuál es su lado oscuro? Por supuesto, su riesgo más evidente es para la seguridad de la empresa que contrata al Proveedor de Servicios de Aplicaciones. Cuanto mayor sea el atractivo de hacerse con la información mantenida por el PSA, mayor será el número de ataques. Resulta obvio que de forma natural los PSA se convertirán en blanco preferido de los hackers.

Los servicios de seguridad mínimos exigibles al PSA serán:

• Cifrado de las comunicaciones, utilizando canales seguros con SSL de 128 bits o acudiendo a tecnologías de VPN (cuidado aquí con soluciones cerradas como PPTP de Microsoft, con agujeros ya encontrados).
• Autenticación fuerte, basada en técnicas criptográficas robustas e infalsificables, que por supuesto deberán guardar proporción con el nivel de sensibilidad de la información a proteger.
• Detección de intrusos, escaneos de puertos y de otras operaciones sospechosas. Se deberá dotar al sistema de una capacidad de respuesta rápida y eficaz.
• Utilización de un sistema operativo seguro, o al menos, seguramente configurado, con definición de permisos de accesos muy restrictivos y especial cuidado en programas ejecutables accesibles a través de las redes. Resulta fundamental que los clientes de un PSA no puedan acceder a los datos de otros clientes (de la competencia) albergados en el mismo PSA.
• Mantenimiento realizado preferiblemente desde las propias consolas de los servidores, ya que se previenen problemas de agujeros en los accesos remotos. Es importante establecer quién accede a los datos de quién. ¿Puede un administrador del PSA acceder rutinariamente a la información confidencial y sensible de una empresa?

A pesar de todas las medidas de seguridad, los mayores peligros a los que se enfrenta un servicio de PSA ofrecido a través de redes públicas son:

• Denegación de servicio: si el PSA deja de prestar el servicio transitoriamente, bien por ataques de hackers, bien por causas técnicas, la empresa puede ver su negocio seriamente afectado, dependiendo su impacto de la mayor o menor necesidad de prestación continuada del servicio a sus clientes. Hoy por hoy, habida cuenta del ciclo de vida tradicional del software, donde son los clientes, y no sus creadores, los que prueban el software y descubren vulnerabilidades, resulta muy arriesgado confiar en que el PSA se mantendrá a prueba de ataques con todas las brechas de seguridad cerradas y que garantizará un servicio durante el 100% del tiempo, incluso bajo ataques con éxito. La redundancia física y lógica de servidores juega aquí un papel crítico.
• La línea Maginot: una vez más, el mayor riesgo no procede de fuera, sino de dentro del propio PSA. Si alberga en él información confidencial de gran valor, un empleado desleal del PSA o implantado allí por un rival podría sentirse tentado de robarla para su uso o venderla al mejor postor. Nadie como él conoce cómo funciona internamente el Proveedor, por lo que nadie mejor que él para atacar sin dejar rastro. Estos empleados también podrían ser vulnerables a ataques de ingeniería social, sobornos, extorsiones, etc.

En la actualidad, los PSA se encuentran en su infancia. A pesar de la publicidad, los riesgos superan con mucho a las ventajas como para apostar fuerte por un PSA de acceso a través de redes públicas. Por supuesto, esta situación cambiará en el futuro, especialmente en la medida en que la seguridad se afronte como un objetivo prioritario del ASP y no como una mera cláusula del contrato. Si está barajando la idea de externalizar sus servicios, sopese bien las amenazas y después, dude. La responsabilidad de la elección es muy grande. Al fin y al cabo, está jugando con la seguridad de su empresa y de sus clientes.

Las empresas de 'netsourcing', también conocidas como ASP, obtienen sus ingresos de alquilar aplicaciones a sus clientes. En la segunda entrega de esta serie, los expertos de Andersen Consulting explican cómo las aplicaciones informáticas se convierten en un servicio más distribuido a través de Internet.

TECNOLOGÍA Y VALOR (II) 

Son las 8:00 de la mañana. Ramón López, director de ventas de una empresa juguetera, ha llegado a su despacho y va a realizar una serie de tareas de gestión que tiene pendientes. En primer lugar, accede al sistema de gestión de recursos humanos de la empresa para actualizar sus datos, añadiendo la información de su último hijo. La aplicación recalculará automáticamente la retención en su nómina, de forma que al recibir la paga del mes en curso se tenga en cuenta su nueva situación familiar.

A continuación revisará su agenda electrónica para la semana, y encuentra una reunión con el representante de una gran cadena de distribución, de fuerte implantación en una región donde su empresa quiere aumentar su presencia. Ramón revisa el historial de su relación con esta cadena, almacenado en otra aplicación informática. Algunos contactos el año anterior que no fructificaron, y reuniones los últimos meses centradas en el precio de sus productos, hasta llegar al punto muerto actual, que ambos desean desbloquear. Para cerrar un acuerdo, Ramón necesita saber hasta dónde puede bajar los precios, así que accede a la aplicación de información de gestión de la empresa y estudia distintos gráficos: el coste medio por producto, la evolución de las ventas en la zona, la elasticidad de la curva de demanda ante variaciones en el precio Maneja varios escenarios alternativos y llega a la conclusión de que tiene suficiente margen para hacer una última oferta que le permita cerrar el trato.

Para mantener a su equipo informado (la distribución a través de esta cadena podría causar algunos conflictos con el canal tradicional), redacta un memorando con la situación y lo envía por correo electrónico a sus comerciales en la zona.

El escenario planteado no tendría nada de particular, si no fuese por el tamaño de la empresa en la que trabaja el imaginario Ramón López: una empresa juguetera en Ibi, de menos de cincuenta empleados y con una facturación anual de unos 5.000 millones de pesetas. Hoy, las diversas herramientas informáticas que Ramón ha estado utilizando están al alcance solamente de las empresas más grandes, que pueden dedicar departamentos enteros a ocuparse de estas costosas aplicaciones. Sin embargo, en sólo un par de años, esta situación podría cambiar drásticamente, poniendo al alcance de un número mucho mayor de usuarios programas que ahora mismo sólo utilizan las grandes empresas. Será así si se afianza una tendencia todavía reciente en EEUU y casi inédita en Europa: el netsourcing.

El netsourcing no es algo tan nuevo. En el último año y medio el mercado ha visto una auténtica explosión de empresas proveedoras de servicios Internet (ISP, o Internet Service Provider). Estas empresas comienzan ofreciendo acceso a la red de redes y siguen con otros servicios como el hospedaje(hosting) de páginas web de sus clientes. Estas web son en muchos casos pequeñas aplicaciones, de las que el ISP se hace cargo. En paralelo, la adquisición de software tradicional a través de Internet, de momento limitado a aplicaciones ofimáticas y de productividad, se ha convertido en uno de los segmentos que mueven más dinero en la Red. La relación entre el proveedor y el cliente acaba con la adquisición, siendo la instalación de ese software y su mantenimiento responsabilidad del comprador.

La competencia es cada vez mayor y las necesidades de los clientes exigen una tecnología cada vez más potente y sofisticada. Por eso, es sólo cuestión de tiempo que las empresas que tradicionalmente han proporcionado estas soluciones tecnológicas planteen un modelo alternativo de ofrecerlas a sus clientes, apoyándose en la explosión de los servicios sobre Internet. Este modelo alternativo es el que se conoce como netsourcing. Una empresa que realiza netsourcing, también conocida como ASP (Application Service Provider), obtiene sus ingresos de alquilar aplicaciones a sus clientes (desde las más sencillas, como pueda ser un procesador de texto, a las más complejas, como los sistemas de control de la cadena logística, o de automatización de la fuerza de ventas). Los usuarios ahorran los costes de adquisición, adaptación y operación. Es decir, el proveedor tradicional de aplicaciones informáticas se transforma en ASP, convirtiendo su producto en un servicio que distribuye a través de Internet. El comprador sustituye lo que hoy es una elevada inversión por un coste más de explotación.

El camino hacia este nuevo mundo, donde los más pequeños podrían utilizar las herramientas actualmente reservadas a las grandes corporaciones para ser más competitivos, no es tan fácil, ni va a recorrerse de inmediato. Los retos son grandes en el aspecto tecnológico. Las nuevas aplicaciones deberán ser adaptadas a la tecnología que requiere Internet. Además, es necesario disponer de una infraestructura de comunicaciones que posibilite trasladar las aplicaciones clave desde las instalaciones de las empresas cliente a las del ASP. En el Internet actual no puede garantizarse el ancho de banda necesario para el uso intensivo que implica el netsourcing (en el que múltiples usuarios de la aplicación acceden a ella simultáneamente a través de la línea telefónica).

Las aplicaciones informáticas que primero se adaptan a este modelo son las no estratégicas, las que suponen una elevada inversión inicial o de mantenimiento (que hace atractivo el alquiler), las que tengan una amplia variación tecnológica (que se traduzca en mayor coste para mantenerla al día), y al mismo tiempo las que tengan madurez en el mercado que permita una elevada paquetización (es decir, su adaptación sin desarrollos adicionales a cualquier tipo de cliente).