La nube y las simplezas (II)

Hola,

No me cansaré de decirlo: Si hay algo especialmente útil en el hecho de mantener un blog, eso es lo que se aprende de los que os tomáis la molestia de pasar por aquí­ y opinar. Poder lanzar ideas al aire y obtener a cambio conversación de calidad no tiene precio.

El último ejemplo lo tenemos en el último art­ículo sobre la nube, donde Felipe, Manu, Joseba y RuBiCK han dejado comentarios de gran valor añadido que creo merecen la pena ser rescatados y traí­dos a la portada. O mejor aún, son comentarios que en su conjunto merecen que extendamos el artí­culo original teniendo en cuenta estos puntos de vista, insisto, de lo mejor que he leí­do y oí­do sobre la nube en mucho, mucho tiempo.

Me preguntaban el otro dí­a unos conocidos si estoy a favor del cloud computing o no. Me sorprendió la pregunta, porque es un tema en el que yo creo que uno no debe posicionarse alegremente sin conocer las condiciones de contorno. En ocasiones los servicios distribuidos externalizados pueden ser beneficiosos y en otras ocasiones, no. Al final todo depende de una enorme mezcla de condiciones, con lo que cuando me preguntan si estoy a favor o no de la nube, siempre respondo ¿en qué caso y condiciones concretas?

Uno de los comentarios que he destacado antes es el de Manu. Con buen criterio comenta que las decisiones empresariales se toman, en muchos casos, sin rigor y lo que es peor: esto no sucede sólo en experimentos aislados, sino que es también patrimonio de los programas complejos y millonarios. ¿A qué se debe esto? Esto no deja de ser la manifestación moderna de un problema que ha existido desde tiempos inmemoriales, y que dada la torpe naturaleza humana, es de prever que siga existiendo. Los proyectos de transformación empresarial son proyectos liderados por el negocio, no por tecnología. Ellos piden, y operaciones entrega. ¿Qué puede ir mal en esta relación tan simple? Muchas cosas, desde problemas en el negocio, errando en las peticiones o tomando decisiones equivocadas, hasta entrega errónea, carente de calidad o no respetuosa con los plazos en TI. Manu se centra en una de las posibles causas, y esa no es otra que la simpleza en la propiedad del proyecto de transformación. Un negocio y unos decisores inoperantes o poco eficientes son el primer condimento de la receta del desastre, y esto es aplicable al cloud computing y a cualquier otra disciplina que queramos contemplar.

A lo largo de los años he presenciado e incluso tomado parte en muchos de estos proyectos, y al menos desde el lado del negocio tengo claro que uno de los problemas más frecuentes es la combinación de la ausencia de conocimiento con la obsesión por la traslación a unidades financieras de todos los aspectos del proyecto. Pero también he visto problemas en el otro lado, en tecnología, con negocios comprometidos, con conocimiento y no obsesionados por colgarle una etiqueta de precio a cada folio del proyecto, pero con una tecnología y operaciones deficitaria, principalmente por la ausencia de flexibilidad. sin vocación de servicio y entrega y sin una clara definición de objetivos objetivos y su priorización.

Joseba comenta en una línea distinta. La nube no es sino otra forma de externalización. Esto me recuerda a una presentación reciente en la que en una transparencia aparecían varios portátiles conectando a una nube de servicios y un grupo de clientes de sobremesa conectando vía 3270 a un z/OS. ¿Existen diferencias? Lógicamente las hay, la nube no suele contemplar mainframes, los escritorios han cambiado y tampoco son iguales los protocolos de comunicación. Pero no menos cierto es que hay un factor común, y ese no es otro que centralizar el núcleo de cómputo haciendo que sean otros los que se ocupen de que eso funcione, limitándonos nosotros a usar el servicio. ¿Es la nube una forma más de externalización? Pues yo comparto con Joseba que en el fondo, no es más que eso, aunque puestos a matizar creo que hay una sutil diferencia que nuevamente tiene que ver con cómo se hacen los negocios. En el outsourcing (y en ciertos modelos de offshoring) se tiende a sacar del perímetro organizativo absolutamente todo, tecnología, soporte y gestión, mientras que en la nube se está tendiendo en primera instancia a sacar fuera todo menos la gestión. Serán muchos los casos donde se acabe sacando la gestión, y al final esta revolución de la nube será más de lo mismo, pero también habrá transformaciones reales donde se marquen diferencias en cómo se hacen los negocios respecto a los modelos anteriores. En lo que estaremos todos de acuerdo es que es absolutamente irrelevante llamar a esto nube, cloud o computación distribuida, y que lo relevante el la transformación en sí.

RuBiCK comenta sobre el cumplimiento normativo. No incidiré más en ello, y podéis ver lo que opino en los cinco errores frecuentes del cloud computing. Yo estoy con RuBiCK: me preocupa saber qué pasará con mis datos, y esa preocupación no siempre es la que tienen los líderes del negocio en sus cabezas. El cumplimiento normativo es un tema que no termina de cuajar, y que provoca cada vez más problemas allá donde no se tiene en cuenta seriamente.

Por último Felipe nos ha dejado un enlace a la revista ACM. No he tenido ocasión de ojearla, pero si la recomendación viene de Felipe, por experiencia anterior os aconsejo que la sigáis :)

Un saludo, y gracias por vuestros comentarios.

La justificación de la innovación en sistemas antifraude en medios de pago

Buenas,

Leyendo el título del artículo imagino que muchos os preguntaréis si innovar es algo que hay que justificar o si por el contrario es un mandato inexcusable, especialmente en el mundo de la gestión antifraude. Aprovechando el reciente anuncio realizado por la Federal Trade Comission, en el que se ofrecen detalles sobre la obtención de una orden judicial para actuar sobre una importante trama de fraude en medios de pago, me gustaría hacer una reseña sobre la relevancia de la investigación y el desarrollo de soluciones modernas que mejoren de un modo continuo la gestión antifraude, y del más que previsible fracaso de todos aquellos que opten por aparcar la iniciativa y dedicarse a verlas venir.

Cuando un grupo organizado provoca un agujero de 10 millones de dólares, algo grave ha pasado. Comentar que siempre existe, para cada organización, un límite que dictamina la cantidad de fraude que se puede asumir y lo que realmente escuece, provoca quebrantos y dependiendo del caso, puede ser necesario revelar públicamente. Como este límite es particular y cada organización tiene el suyo propio, no hay un estándar válido que nos permita decir si 10 millones de dólares es mucho, muchísimo, poco o poquísimo, pero a poco que se haya tenido contacto con la lucha antifraude, es comprensible pensar que se trata de una cantidad que enciende alarmas. También dependerá del número de organizaciones que estén detrás de los usuarios que hayan sufrido el quebranto, como es lógico, ya que no es lo mismo que los 10 millones los sufran los clientes de 50 organizaciones que los de una sola.

En la historia que ilustra este artículo, más de un millón de usuarios se han visto afectados con cargos únicos de 10 dólares o menos (llegando hasta los 20 céntimos) siendo estos pagos canalizados a través de sociedades fantasma en los Estados Unidos que a su vez transfirieron los fondos a cuentas bancarias en Asia y Europa del Este. Para mí lo verdaderamente relevante del asunto no es el quebranto (que obviamente lamento) sino que el montaje está basado en los temidos patrones que la mayoría de sistemas antifraude no están prepadados para detectar: el conocimiento de las reglas y la ejecución de patrones que no provoquen el disparo de las mismas, en este caso, el uso de pequeños importes no repetitivos

Los sistemas más vetustos de prevención del fraude en medios de pago se basan en reglas. Por poner un ejemplo sencillo, si por alguna razón se presenta un cargo que excede un límite que se ha definido como disparador, entonces la operación se cancela al vuelo, acarreando normalmente el consiguiente bloqueo de la tarjeta. Los sistemas modernos, además de las reglas, tienen motores de inteligencia que son capaces de hacer correlación de eventos y análisis comportamental, de modo que el patrón a seguir dejan de ser simples reglas para pasar a ser patrones de empleo, por ejemplo en vez de la cantidad, el hecho de detectar una desviación en el lugar de uso frecuente del plástico, o la hora, por poner dos ejemplos. Normalmente una transacción de débito o crédito siempre tiene asociados unos valores que la definen, siendo fácil comprender que entre esos valores estarán el origen, el destino, el importe, la fecha y la hora, así como los datos de la tarjeta. Con esos parámetros, junto a otros muchos más, es posible construir escenarios que dictaminen si una operación debe ser cancelada, marcada como sospechosa para ser sometida a comprobaciones adicionales, o autorizada.

El problema que tienen las operaciones con importes pequeños no repetitivos es que anulan las reglas basadas en límites. Nadie en su sano juicio implementaría una regla que diga que cualquier importe de 10 dólares o menos será automáticamente cancelado, porque el gasto en emisión de nuevos plásticos que acarrearía la medida (pensad en parkings, recargas de móviles, micropagos, compras, etc.) y el más que previsible enfado de tu clientela harán que el responsable antifraude tengas serios problemas. ¿Existe una manera fiable de frenar el fraude, empleando exclusivamente límites, en operaciones no repetitivas con importes pequeños? No, no existe esa posibilidad. Por tanto si te provocan 10 millones de quebranto es que muy probablemente tu sistema antifraude no sea un sistema moderno que palie esa carencia, sino más bien un sistema vetusto que no es capaz de digerir el fraude con pequeños importes no repetitivos y en general, cualquier fraude basado en adaptar el patrón fraudulento al conocimiento de las reglas que componen el sistema.

Estar en la punta de lanza en el mundo de la lucha del fraude marca la diferencia entre tener que comerte un quebranto de millones o por el contrario, lidiar con cantidades pequeñas fácilmente acomodable en los resultados. Cuanto más estás en la vangardia, menores son los riesgos, como no podría ser de otro modo. Este principio es lo que en la literatura se define como gestión del riesgo.

Un saludo,