Control sobre los desarrolladores de software

blackCard

INTRODUCCIÓN

Las últimas semanas de DGSI nos hemos centrado en la comprensión de la evolución de los sistemas de información des de los años 1960, momento en que aparecían las primeras computadoras y se introducían lentamente en las empresas, hasta el año 2000, hablando de middleware, faxes, ms-dos, linux, impresoras, ERP, CORBA, Java, etc. Cada punto de evolución explicado a partir de los problemas que se querían resolver, las soluciones aplicadas y como de estas soluciones por motivos X o Y algunas han desaparecido y otras se siguen utilizando.

Los últimos días fueron orientados a intentar darnos una visión (o intentar convencernos) de que, como en todo, el mundo está gobernado por las grandes empresas y el mundo de los sistemas de los información no va a ser menos: des de como Microsoft asentó su monopolio hasta hacernos plantear porqué existe un control de acceso de roles en los proyectos hechos con Java. En la entrada de éste blog nos centraremos a razonar sobre ésto último.

EJB y la seguridad (o control)

Enterprise JavaBeans es la API de JAVA orientada a las empresas para la gestión y desarrollo de servidores de aplicaciones. Su objetivo declarado es el de permitir al programador desarrollar aplicaciones de manera abstracta o alejado de lo que se define como problemas generales del entorno empresarial (transacciones, persistencia, concurrencia, seguridad…). Estando todo basado en contenedores y la seguridad en cada contenedor se ejerce con el uso de ACLs (listas de control de acceso), con lo cual se restringe la visión de las personas que van a trabajar sobre éstos (en este caso, programadores), siempre claro, con la finalidad de que no se desvíe su atención de la lógica de negocio.

De esta forma el programador no sabe realmente lo que su aplicación puede llegar a hacer o el uso real que se le va a dar ya que solo conoce una pequeña parte del todo.

Piezas reemplazables

Si miramos y pensamos con recelo acerca de ésta seguridad que trae el EJB podemos llegar a pensar de que lo que realmente se está haciendo es tener programadores que sepan poco, lo justo, que no se vuelvan indispensables para el negocio (ya que no lo conocen al tener una visión restringida) y que sea fácil reemplazarlos en caso de que sepan demasiado o el control sobre estos se desmadre. Y si, realmente la gente que trabaja en un departamento de sistemas de información tiene una visión transversal de la empresa, tienen el poder y el conocimiento de dotar de valor añadido al negocio y por ende, si en la empresa suceden cosas anormales (como puede ser fraude), pueden detectarlo y denunciarlo.

“Tratamiento administrativo circular 50/99”

Con este nombre se conoce a los “errores” informáticos que se daban en el caso de las tarjetas black, en un breve resumen: se otorgó al órgano de control de la entidad bancaria de tarjetas con dinero ilimitado que no se anunciaba a la agéncia tributaria. Entendiendo ésto como soborno, los ejecutivos de la entidad bancaria podían hacer lo que quisieran ya que el órgano de control miraba hacía otro lado ante el fraude y la corrupción. Realmente era culpa de un error informático? No, la verdad es que no, seguramente la ejecutiva aprovechó (o hizo que los informáticos de la entidad se mantuvieran callados) estructuras como las que ofrece EJB para que no se supiera realmente lo que se estaba haciendo. Tienen culpa estas personas? Ciertas informaciones dicen que algo “sospechaban” y que colaboraron con el juez por hacer salir a la luz lo que realmente estaba sucediendo.

Conclusiones

Es entendible que se tema a los informáticos dentro del mundo empresarial, ya que la información es poder y el departamento donde trabajan es, sencillamente, el punto por dónde pasa toda la información. Ya tenemos casos en películas como Super Man 3, en donde uno de los villanos es el informático el cual roba en la empresa dónde trabaja. El problema es el uso final que hagan tanto unos (ejecutivos) como los otros (informáticos) y de la ética de todos.

Mi opinión es que de un sistema que lo que pretendía era dotar de seguridad lo que se ha hecho ha sido un uso corrupto para beneficio propio.

 

Referencias

Google book sobre control en javabeans

Tarjetas black

Tarjetas black 2

EJB en desuso

Superman

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *