Seguridad? Qué tan Efectiva es tu. 'maddog' Hall. Software Guru CONOCIMIENTO EN PRÁCTICA Año 02 No.02 Marzo-Abril 2006 www.softwareguru.com.

Frameworks Aplicativos Mejora iterativa de Procesos Diagramas de Clase Software Guru CONOCIMIENTO EN PRÁCTICA Año 02 No.02 Marzo-Abril 2006 www.softwareguru.com.mx [ ENTREVISTA ] 'maddog' Hall Presidente de Linux International ESPECIAL Cadena de Valor Móvil REPORTAJE Avances PROSOFT Qué tan Efectiva es tu Seguridad? Seguridad y Protección de Aplicaciones Noticias Eventos Reportajes Fundamentos Tecnología Opiniones [ TUTORIAL ] GNUpg

DIRECTORIO A > EDITORIAL Edición Ejecutiva Pedro Galván Coordinación Editorial Mara Ruvalcaba Edición y Producción Edgardo Domínguez Arte y Diseño Oscar Sámano, Dafne Ortega La aplicación debe ser segura. Podríamos apostar que esta frase - o una muy similar - estaba incluida en las bases o requerimientos de todos los proyectos de desarrollo de software en que hemos participado. Tal vez haya quienes hagan lo correcto, y averigüen los requerimientos específicos de seguridad, modelen las amenazas, analicen su impacto, acuerden la estrategia a seguir, y la ejecuten durante todo el proyecto, por ejemplo incorporando mejores prácticas de seguridad en el diseño y programación, teniendo revisiones de diseño y código seguro, y asignando un rubro específico en su plan de pruebas para probar seguridad. Sin embargo, sabemos que este grupo de personas son una minoría. Lo que el resto de nosotros acostumbra hacer es decir seguridad? si, no hay problema, seguramente se refieren a que identifiquemos a los usuarios con un user y un password y ya, y seguir como si nada. Por ello, en este número hemos incluido diversos artículos para conocer un poco más acerca de los principales aspectos de seguridad informática involucrados en el desarrollo y mantenimiento de aplicaciones. Esperamos que esto sirva para que un mayor porcentaje de nosotros empiece a hacer lo correcto. La entrevista de este número es con maddog Hall. Su misión es la de convencer al mundo sobre la importancia del software libre para el bienestar de la sociedad. Sin embargo, él no utiliza los mismos argumentos que otros promotores del software libre. Maddog nos habla de historia, de economía, y de un bienestar para la sociedad en general. Esperamos que disfruten la entrevista tanto como nosotros. Para este número también hemos preparado un reportaje con una actualización acerca de lo que está pasando con ProSoft, los avances en 2005 y las metas para este año. Al parecer, las cosas van marchando bien. Sin embargo, aun falta mucho por hacer. No hay que bajar el ritmo. Cada uno de nosotros es parte de este esfuerzo, y pone su granito de arena para desarrollar esta industria, nuestra industria. Agradecemos el entusiasmo de todos los colaboradores que se interesaron en participar en este número. En esta ocasión contamos con la colaboración de un colega de Venezuela. Bienvenido. Les recordamos que pueden enviar cualquier propuesta de contenido, o retroalimentación a editorial@softwareguru.com.mx Equipo Editorial Consejo Editorial Francisco Camargo, Guillermo Rodríguez, Ralf Eder y Raúl Trejo, ITESM CEM; Hanna Oktaba, UNAM-AMCIS; Luis Cuellar, Softtek.; Luis Vinicio León, e-quallity - ITESO Colaboradores Luis Daniel Soto, Ariel García, Jorge Palacios, Paulina Olivares, Hernán Ramírez, Mario Rodríguez, Luis Guerrero, Rafael Manjarrez, Humberto López, Angélica Su, Heidi González, Eduardo Macías, Ernst Ellmer, Sergio Orozco, Carlos Macías, Brenda Bastida, Ernesto Corona Ventas Claudia Perea Marketing Natalia Sánchez Distribución Daniel Velázquez Fotografía de Portada Cecko Hanssen (flickr.com) Contacto info@softwareguru.com.mx +52 55 5239 5502 SG Software Guru es una publicación bimestral editada por Brainworx S.A. de C.V., Malinche no. 6, Col. El Parque, C.P. 53398, Naucalpan, México. Prohibida la reproducción total o parcial del contenido sin previo aviso por escrito de los editores. Todos los artículos son responsabilidad de sus propios autores y no necesariamente reflejan el punto de vista de la editorial. Reserva de Derechos al Uso Exclusivo: 04-2004-090212091400-102. Certificado de licitud de título: 12999. Certificado de licitud de contenido:10572. ISSN: 1870-0888. Registro Postal: PP15-5106. Se imprimió en marzo de 2006 en PrePrensa Digital. Distribuido por Sepomex. 02 MAR-ABR 2006 www.softwareguru.com.mx

contenido mar-abr 2006 Año 2 número 02 EN PORTADA Seguridad de Aplicaciones Fundamentos, modelos, tecnologías y opiniones relacionadas con la incorporación de seguridad en las aplicaciones de software 24 Cadena de Valor Móvil 18 Obteniendo Ventaja Competitiva Productos LO QUE VIENE 12 Eclipse Process Framework, Microsoft Team Foundation Server, Citrix Access Gateway TUTORIAL 14 GNUpg Columnas Tejiendo Nuestra Red 09 por Hanna Oktaba Mejora Continua 10 por Luis Cuellar Tendencias en Software 39 por Luis Daniel Soto Prueba de Software 46 por Luis Vinicio León Cátedra y Más 54 por Raúl Trejo Prácticas PROCESOS 36 Mejora Incremental de Procesos Angélica Su analiza los beneficios y comparte tips sobre la aplicacion del modelo iterativo en la mejora de procesos de software. ARQUITECTURA 40 Frameworks y MDA Ernst Ellmer y Eduardo Macías nos explican en qué consiste un framework aplicativo, y cómo se puede relacionar con MDA. UML 44 Diagrama de Clases En esta ocasión, Sergio Orozco y Carlos Macías abordan el diagrama de clases, enfocándose en la forma en que se obtienen las operaciones de las clases a partir de los diagramas de interacción. Entrevista 22 Jon maddog Hall En Cada Número Noticias y Eventos 04 Reportajes 06 Fundamentos 48 Infraestructura 50 Reflexiones 56 www.softwareguru.com.mx MAR-ABR 2006 03

NOTICIAS Noticias LinuxWorld México Del 14 al 17 de febrero, en la Ciudad de México, se llevó a cabo la conferencia y exposición LinuxWorld, primer evento de clase mundial dedicado a Linux y software libre que se presenta en nuestro país. Las conferencias y la exposición tuvieron como objetivo dar a conocer diferentes soluciones de Linux y software libre, así como los beneficios generados en las organizaciones al adquirir estas tecnologías. Una de las conferencias más atendidas fue la de Miguel de Icaza, quién mostró las capacidades de la próxima versión de Novell Linux Desktop. Para mayor información, visita el blog de SG en www.softwareguru.com.mx MoProSoft y EvalProSoft: Base para PyMEs Iberoamericanas El Programa Iberoamericano de Ciencia y Tecnología de Desarrollo, CYTED, aprobó el proyecto COMPETISOFT Mejora de procesos para fomentar la competitividad de la pequeña y mediana industria de Iberoamérica. El objetivo del proyecto es incrementar el nivel de competitividad de las PyMEs iberoamericanas productoras de software mediante la creación y difusión de un marco metodológico común que, ajustado a sus necesidades específicas, pueda llegar a ser la base para establecer un mecanismo de evaluación y certificación, reconocido en toda Iberoamérica. El director general del proyecto es el Dr. Mario Piattini de la Universidad de Castilla-La Mancha, España y la directora técnica es la Dra. Hanna Oktaba de la UNAM, México. Para lograr este objetivo se propone repetir a nivel iberoamericano lo que se ha hecho en México para generar la norma. Se tomarán como base los modelos de MoProSoft y EvalProSoft y trabajos similares realizados en otros países, como Brasil, España y Colombia. Se compartirán los conocimientos de 23 grupos académicos e industriales de 13 países. Se tratará de llegar a un marco metodológico común mejorado y probado en todos los países participantes. Inicia Operaciones Fábrica de Software de la UTM El pasado 17 de febrero fue inaugurada en Huajuapan de León, Oaxaca, la fábrica de software de la Universidad Tecnológica de la Mixteca, llamada Kada Software, la cual forma parte del Parque Tecnológico de la propia universidad. El Gobernador de Oaxaca, Ulises Ruiz Ortiz y el Rector de la UTM, Modesto Seara Vázquez, en compañía de Mauricio Santillán, Director General de Visionaria, dieron arranque formal a las operaciones de esta fábrica, la cual inició con dos proyectos de desarrollo de software para la empresa Edutecsa. Siendo un proyecto conjunto entre la incubadora de empresas de tecnología Visionaria y ese centro de estudios, Visionaria aportó la transferencia de metodologías, un plan de asesorías para la definición de su oferta de valor y el establecimiento de un plan de viabilidad comercial, así como un plan para la promoción de contrataciones de empresas para proyectos y servicios tecnológicos. Para mayor información, visita el sitio de SG en www.softwareguru.com.mx 04 MAR-ABR 2006 www.softwareguru.com.mx

Eventos 8 Marzo 2006 Business Intelligence & Business Process Management Conference 2006 - IDC Centro Banamex, Cd. de México Info: www.idc-eventos.com/bi06 Tel: (55) 5661 3791 e-mail: idc@apsis.org.mx 23 Marzo 2006 IT SmartSourcing Conference 2006 IDC Hotel JW Marriott, Cd. de México Info: www.idc-eventos.com/smartsourcing06 Tel: (55) 5661 3791 e-mail: idc@apsis.org.mx 30 y 31 Marzo 2006 Seminario Optimizando los servicios de TI con ITIL - Itera 30 de Marzo, Cd. de México. 31 de Marzo, Monterrey. Info: www.itera.com.mx Tel. (55) 5281 7670 e-mail: contactsalescenter@itera.com.mx 5 Abril 2006 Prácticas no Recomendadas en el Uso del MS Project - MPA Capítulo México WTC, Cd. de México Tel: (55) 5523 8488 e-mail: isabel.garcia@advisicon.com 29 al 31 Marzo 2006 Congreso Tendencias y Aplicaciones en los Sistemas de SW Universidad Madero San Andrés Cholula, Puebla Info: www.congreso-ids.com Tel: (222) 755 5394 5 y 6 Abril 2006 Integración de Aplicaciones, Servicios Web, SOA y BPM Gartner Centro Banamex, Cd. de México Info: www.gartner.com/mx/appint Tel: (55) 5584 9370 profesionales de TI para empresas de México, Estados Unidos y Latinoamérica. Con una inversión de más de dos millones de dólares, el GDC Softtek Aguascalientes alojará a más de 1,200 desarrolladores mexicanos. Esta iniciativa se realiza con una visión compartida de Softtek, la Secretaría de Economía a través del programa ProSoft, y el Gobierno del Estado de Aguascalientes. Arranca Construcción de GDC en Aguascalientes El pasado 24 de enero en la ciudad de Aguascalientes, el Presidente de México, Vicente Fox Quezada, dio el banderazo de inicio para la construcción del Centro de Entrega Global (GDC - Global Delivery Center) Softtek Aguascalientes, el cual desarrollará soluciones y servicios En la ceremonia estuvo presente el Secretario de Economía, Sergio García de Alba, el Gobernador del Estado, Ing. Luis Armando Reynoso Femat, el Secretario de Desarrollo Económico de Aguascalientes, Dr. Armando Jiménez San Vicente, la Presidenta de Softtek, Blanca Treviño de Vega y empresarios de la entidad. De acuerdo con el Dr. Jiménez San Vicente, la visión de esta administración es colocar a Aguascalientes como un polo de la economía de la innovación y del conocimiento. Para mayor información, visita: www.softwareguru.com.mx www.softwareguru.com.mx MAR-ABR 2006 05

REPORTAJE Servicios de TI en México Una Industria en Constante Expansión Por Jorge Palacios Como sabemos, el Programa para el desarrollo de la industria de software (PROSOFT), coordinado por la Secretaria de Economía, inició en octubre del 2002, con el objetivo de crear las condiciones necesarias para que México desarrolle una industria de software competitiva a nivel internacional y se asegure su crecimiento a largo plazo (ver SG Oct-Dic 2004). PROSOFT tiene como metas para el 2013: Lograr una producción anual de software de 5,000 millones de dólares. Alcanzar el promedio mundial de gasto en tecnologías de información. Convertir a México en el líder latinoamericano de desarrollo de software y contenidos digitales en español. Resultados 2005 Durante el 2005 el ProSoft consiguió posicionarse en el sector debido a su impacto favorable en esta naciente industria mexicana. El apoyo del gobierno federal aunado al de organismos promotores, sector privado y académico, ayudó a que en el 2005 este sector tuviera un crecimiento casi tres veces mayor que el resto de la economía del país, tal como se aprecia en los números y estadísticas presentados en la tabla 1. Las estrategias que utilizó el PROSOFT para impulsar este crecimiento fueron: 1. Formación de capital humano, que comprende: Desarrollo de competencias laborales especializadas. Vinculación de las empresas del sector de TI con las instituciones educativas. Implantación de programas de capacitación y actualización permanente. 2. Elevar la calidad y la capacidad de procesos, que abarca: La implantación y certificación en modelos de calidad mediante el desarrollo de capacidades para la prestación de servicios de calidad. 3. Propiciar la innovación y el desarrollo tecnológico, que implica: Transferencia tecnológica. Actividades de investigación y desarrollo. El desarrollo y pruebas de soluciones de alta tecnología y valor agregado. 4. Proveer el acceso al financiamiento, que alcanza: Acceso a Fondos de Garantía y aportación de Capital Semilla y Capital de Riesgo. 5. Apoyo a los Proyectos productivos, que comprende: Instalación de centros de desarrollo de software y/o prestación de servicios de TI. 6. Desarrollo de capacidades empresariales y de estrategia de negocio, que implica: La elaboración de estudios y proyectos. La capacitación empresarial. 7. Fortalecimiento de capacidad regional y empresarial, que fomenta: La formación y fortalecimiento de grupos de empresas. La creación de nuevas empresas de TI. La integración y fortalecimiento de la cadena de valor. El posicionamiento y/o mejora de imagen del cluster. 8. Promoción y comercialización especializada en el sector para: La promoción, realización y participación en eventos. La habilitación de oficinas de promoción de oferta de servicios. La comercialización de productos y servicios de TI. 9. Desarrollo de masa crítica del sector, que impulsa: Proyectos integrales de fortalecimiento de capacidades. Tabla 1. Crecimiento del Sector de TI en México 06 MAR-ABR 2006 www.softwareguru.com.mx

Monto de la Inversión ProSoft En la parte cuantitativa del ProSoft, en el 2005 se arrojaron los siguientes números: 110 instituciones educativas involucradas en proyectos relacionados con PROSOFT. 4,989 personas capacitadas para las distintas competencias laborales del sector. 2,249 personas certificadas en las diversas competencias laborales del sector. 214 personas capacitándose en temas de calidad. 338 empresas involucradas en capacitación, implantación y/o certificación en modelos de calidad. 369 empresas apoyadas en temas de negocios y estrategia. 866 personas capacitadas en temas de negocios y estrategia. 2,183 lugares habilitados para proyectos productivos. 4,273 equipos nuevos o actualizados. 125 eventos organizados o con presencia para posicionar la oferta de TI mexicana. 10 empresas de TI en proceso de integración. 480 soluciones de TI registradas en el portal www.software.net.mx 19 programas estatales alineados al PROSOFT. 4 incubadoras de empresas de software. 14 clusters de TI con igual numero de empresas integradoras. En la parte cualitativa del esfuerzo, se encontraron los siguientes logros en el 2005: La inauguración en el estado de Jalisco de un laboratorio de investigación de la compañía INTEL que genero 30 nuevos empleos. La Inauguración del centro de desarrollo de video juegos de la compañía GAMELOFT, que generó 50 nuevos empleos. Se diseñó la Campaña de Posicionamiento de la industria de TI mexicana en EE.UU. Se creó el Centro Academia Industria para reducir la brecha recién egresado vs. persona productiva. Se promulgó la Norma de Conservación de mensajes de datos (NOM-151-SCFI-2002). Se realizaron las reformas en materia de firma electrónica y comprobantes fiscales electrónicos. Se tuvo presencia mexicana en el grupo de comercio electrónico de APEC (ECSG) y en el ASPAN para el marco de comercio electrónico para Norteamérica. Se promulgó la NMX-I-059-NYCE para el desarrollo y mantenimiento de software y se designó al NYCE como primer organismo verificador. Concepto 2004 2005 Acumulado Crecimiento Presupuesto 139.7 195 334.7 40% ProSoft (mdp) Inversión detonada 249.52 753.75 1003.27 202% por ProSoft (mdp) Factor de potenciación 2.5 3.9 3.5 56% Proyectos aprobados 68 181 249 166% Entidades federativas 10 19 19 90% participantes Empresas 584 1,060 1,644 82% proyecto-atendidas Empleo proyecto 1,786 6,642 8,428 272% Tabla 2. Crecimiento del Monto de la Inversión En lo referente a participación estatal, inversión, y proyectos atendidos, los resultados del 2005 se aprecian en la Tabla 2. En el 2006, el PROSOFT ya inició sus operaciones. Las empresas de desarrollo de software, instituciones educativas y emprendedores que forman parte de la población objetivo del programa pueden presentar sus propuestas de proyectos a través de los organismos promotores, ya sean Entidades Federativas u Organismos Empresariales. Para mayor información sobre la presentación de propuestas, se puede consultar el sitio www.software.net.mx. Con todo lo anterior, podemos concluir que la industria de software en el 2005 se posicionó fuertemente en el sector mexicano, siendo estos números un claro reflejo de la proyección esperada para el 2006, así como la búsqueda de la consolidación del sector de TI con mayores y mejores resultados. Agradecemos a Eduardo Rubio e Ivette García, de Secretaría de Economía por la información proporcionada para elaborar este reportaje. www.softwareguru.com.mx MAR-ABR 2006 07

CLUSTERS Software de Clase Mundial Hecho en México, Hecho en Sonora Una de las estrategias utilizadas en México para afrontar el reto de los grandes proyectos de tecnologías de la información, es la asociación de varias PyMEs en un concepto de integración empresarial que se le conoce con el nombre de Cluster. Uno de los clusters de mayor tamaño en México es TI Sonora, que debido a la dimensión de la región sonorense se divide en zona norte, centro y sur. TI Sonora es una asociación civil constituida en septiembre de 2003, y tiene como misión integrar y coordinar proyectos que permitan el crecimiento y desarrollo competitivo de la industria de TI en el estado de Sonora. Con el fin de producir software de clase mundial, el estado de Sonora tiene las siguientes metas: Fortalecer empresas locales y atraer a empresas internacionales. Coadyuvar en al aumento de la calidad de vida de los sonorenses mediante la generación de empleos de alto valor agregado. Alinear a las necesidades de la industria los perfiles de los egresados universitarios y la capacidad de formación de las universidades. Diseñar, construir y consolidar un modelo de interrelación entre las empresas, que permita a los integrantes de la industria colaborar eficientemente mediante un cluster. Buscar la interacción adecuada entre los diferentes sectores de Tecnologías de la Información en el Estado, y a la vez apoyar el desarrollo tecnológico de nuestras comunidades. Para alcanzar estos objetivos, TI Sonora plantea las siguientes estrategias: Mejora de Procesos: Busca certificaciones (CMMI o MoProSoft) que acrediten la madurez de los procesos de producción de software. Certificaciones Técnicas: Generar profesionales con las habilidades técnicas necesarias en las herramientas que manejan. Promoción: La principal fuente de trabajo deberá provenir de las ventas, debemos contar con las habilidades para competir con las empresas con mayor presencia en el mercado internacional. Modelo de Interrelación: Modelo estandarizado de producción que permite sumar el esfuerzo y las capacidades de varias empresas. Vinculación Universitaria: La industria y las universidades deben trabajar de manera conjunta con el fin de que los egresados sean profesionistas competitivos. Biblioteca de Componentes: Aporta componentes desarrollados por las mismas empresas para su reutilización. Currícula de TI: Portal que presenta información de las empresas, profesionistas y proyectos desarrollados. Edificación de Parques Tecnológicos: Permite compartir y optimizar infraestructura de clase mundial. Principales Logros Como muestra de los logros alcanzados por los asociados en TI Sonora encontramos: Las empresas C3 Technologies y Novutek han sido aceptadas como empresas con oferta tecnológica de alto valor agregado para participar en el programa Technology Business Accelerator (TechBA) de la Secretaría de Economía operado por la Fundación México Estados Unidos para la Ciencia (FUMEC). La empresa Software Site alcanzo durante 2005 la acreditación CMM SW nivel 3. Inicio del proyecto de mejora de procesos CMMI en 11 empresas. Alianza con Arizona Technology Council. 10 empresas participando en el encuentro de negocios AL INVEST en ESI Center, España Creación del centro TIS en Hermosillo. Mas de 70 Empresas e Instituciones asociadas, mas de 700 empleos de expertos de TI. Objetivos 2006 Los centros TIS ofrecen servicios a los asociados y la infraestructura necesaria, en general servicios de valor agregado. Se abrirán 2 nuevos centros: Cd. Obregón y Nogales. Gracias al apoyo de PROSOFT y del Gobierno Estatal, en el 2005 se entregaron recursos por 35.2 millones de pesos, y se planea contar con más de 100 millones para este año. Para el 2006 TI Sonora busca integrar a más de 100 empresas asociadas, para exceder 1,000 empleos de expertos de TI. Entre los proyectos a ejecutar se encuentran: 1. Parques de tecnología 2. Mejora de procesos CMMI en 11 empresas (Control-E, Novutek, Qualisys, Netshore, Software Site, Intersel, Interlogic, Special Compu, C3 Technologies, Ebusiness Consultores y la Integradora TI Sonora) 3. Capacitación técnica (520 expertos 2005, 230 en 2006) 4. Creación y Operación de Integradora 5. Portal TI Sonora con software integrado como Currícula de TI, Biblioteca de Componentes y Portal Educativo 6. Vinculación Universitaria 7. Promoción Nacional e Internacional de Software Sonorense 8. Apoyo a proyectos especiales Sonora posee todas las condiciones para ser líder en la industria de desarrollo de software, y esta llevando a cabo las acciones necesarias para lograrlo. Les mantendremos al tanto de sus avances para producir software de clase mundial hecho en México, hecho en Sonora. 08 MAR-ABR 2006 www.softwareguru.com.mx

TEJIENDO NUESTRA RED Y la Academia... Cuándo se va a Unir? Papel de la Academia en la Industria de Software COLUMNA En el número pasado dije que, a mi juicio, la academia debería de involucrarse más activamente en el movimiento del fortalecimiento de la industria de software. Hoy quiero detenerme un poco para explicar mi opinión al respecto. La pregunta que intentaré responder es: cuál debería ser el papel de la academia en el fortalecimiento de la industria de software? Veo por lo menos tres frentes en los que deberíamos actuar: 1. Transferencia de Conocimientos Propósito.- Tener un alto grado de innovación en la industria. Problema.- Cuántos proyectos de investigación y tesis se quedan solamente en papel, o como prototipos? Posible solución.- Necesitamos buscar canales de comunicación entre academia y empresas para que se conozcan, se inspiren confianza, y los frutos de la investigación se conviertan en productos innovadores que den ventaja competitiva a la industria. Hay que crear espacios donde los académicos presenten su oferta y la industria exprese sus necesidades. Qué se requiere.- Un nuevo enfoque en las políticas del reconocimiento al trabajo de investigación, dándole mayor valor a la transferencia de conocimiento y tecnología que beneficie al desarrollo de la industria. 2. Asesoría y Consultoría Propósito.- Apoyar a las empresas en la solución de problemas teórico-prácticos y acelerar la asimilación de innovaciones. Problema.- Por un lado, pocas empresas cuentan con personal especializado y dedicado a la investigación y actualización constante y, por el otro, a los académicos no se les exige la vinculación con la industria. Quienes lo hacen es más por interés propio que por políticas institucionales. Esta es la situación que, por lo menos, observo en las universidades e institutos públicos. Posible solución.- Necesitamos fomentar las excursiones de los académicos al mundo real. Esto traerá beneficios para todos. Las empresas obtendrán el apoyo en la solución de sus problemas, los académicos tendrán que enfrentarse a problemas reales, con esto enfocar mejor sus investigaciones y, por consecuencia, transmitirán a sus alumnos conocimiento teórico-práctico que les dé mejor preparación para su vida profesional. Qué se requiere.- Reconocer el impacto de trabajo de vinculación para la competitividad de la industria, la investigación y la docencia. Definir políticas nacionales que fomenten este tipo de actividades de los académicos. 3. Formación de Recursos Humanos Nuevos y Actualización de los Existentes Propósito.- Elevar el nivel de capacidades de la industria. www.softwareguru.com.mx Problema.- Estamos formando muchos recursos humanos en múltiples carreras, sin embargo, tendemos a descuidar aspectos relacionados con la incorporación a la actividad profesional. Trabajo en equipo, relación con el cliente, estructura de una organización y cómo moverse dentro de ella, son temas difícilmente tratados. Ni hablar de la brecha entre los conocimientos tecnológicos provenientes de productos comerciales que la industria espera, y lo que la academia sobre todo pública, puede enseñar a sus alumnos. Esto se agudiza por la velocidad de cambio en las tecnologías y herramientas que la industria tiene que asimilar para mantenerse competitiva. Posible solución.- Necesitamos incluir en los planes de estudios conocimientos y habilidades relacionados con factores humanos. En las carreras que preparan profesionales para la industria de software, enseñar de manera práctica los procesos y técnicas estandarizadas para facilitar la incorporación de los egresados. Involucrar a los representantes de la industria en la definición y revisión de los planes de estudio. Qué se requiere.- Cambiar usos y costumbres en la relación academia-industria para que entiendan que son uno para el otro y que busquen el beneficio mutuo. En la UNAM ya empezamos a reflexionar al respecto. En noviembre pasado realizamos un coloquio sobre la Computacíon y las Tecnologías de Información. Nos dimos cuenta que nuestro problema principal es una enorme pulverización de los recursos humanos, esfuerzos de investigación y desarrollo de sistemas de software. El primer paso que nos propusimos es crear las redes de colaboración en temas afines dentro de la UNAM. El tema de vinculación está latente y pronto tendremos que abordarlo más a fondo. Me gustaría mucho conocer la opinión de mis colegas académicos y la gente de la industria sobre estas reflexiones. Ofrezco esta columna para empezar el debate. Cambiando de tema, les quiero dar dos noticias. Primera, que ya se publicó el reporte del primer International Workshop for Process Improvement in Small Setting. Lo pueden encontrar en el sitio del SEI como SPECIAL REPORT CMU/SEI-2006-SR-001. También les quiero presumir que fue aprobado por CYTED el proyecto COMPETISOFT Mejora de procesos para fomentar la competitividad de la pequeña y mediana industria de Iberoamérica. La idea, a grandes rasgos, es repetir a nivel iberoamericano lo que hemos hecho en México para generar la norma. Nuestros modelos de MoProSoft y EvalProSoft se utilizarán como base para llegar a un marco metodológico común mejorado y probado en todos los países participantes. La duración es de tres años y el reto, como pueden ver, es enorme. Les seguiré contando. - Hanna Oktaba La Dra. Hanna Oktaba es profesora en la Facultad de Ciencias de la UNAM. Es fundadora y Secretaria de la Asociación Mexicana para la Calidad en la Ingeniería de Software. Actualmente dirige el proyecto con el cual se creó la norma mexicana para la industria de software. MAR-ABR 2006 09

MEJORA CONTINUA COLUMNA Si Todos Sabemos lo que se Debe Hacer... Por Qué no se Hace? Luis R. Cuellar es Director de Calidad a nivel mundial de Softtek Information Services. Luis es reconocido por la American Society for Quality (ASQ) como Certified Quality Manager, Certified Software Engineer, y Six Sigma Black Belt. En los últimos cinco años ha estado a cargo de la definición e implantación de la estrategia para CMM5 y Six Sigma a través de las diferentes áreas del centro de desarrollo de Softtek. La semana pasada me encontraba dando una conferencia en el capítulo Nuevo León de la AMCIS, y me hicieron la siguiente pregunta: Si todos estamos de acuerdo en los beneficios de las iniciativas de calidad, entonces por qué tan pocas organizaciones lo estamos haciendo?...tic, tac, tic, tac... después de algunos segundos pude recuperar la compostura y contestar lo primero que se me ocurrió, pero la pregunta me dejó muy inquieto. Por qué no lo estamos haciendo? Tras de un par de noches de insomnio, llegue a las siguientes cuatro posibles razones. La Dirección Viene de la Dirección Este punto ya se ha mencionado anteriormente, pero me permito volverlo a mencionar porque desafortunadamente aún veo poco cambio. Conozco a muchas organizaciones que todavía están tirándole a certificarse como el resultado final de un esfuerzo de calidad. El mensaje que se envía con esto es: queremos certificarnos sin realmente entender qué significa. No quiero decir que la dirección deba ser experta en CMMI o ISO9000, para eso están los expertos, pero sí debe tener clara la foto final. Cómo es que la mejora va a cambiar la manera de hacer negocios?, de interactuar con el usuario?, cómo se comportará la organización después de seis meses de esfuerzo?, de un año?, etc. Aquí juega un rol muy importante el director de calidad. Uno de sus trabajos es constantemente interactuar con la dirección para que ambas partes estén totalmente sincronizadas en cuanto a lo que se espera del esfuerzo. Ventas vs. Producción La naturaleza de la industria de software es la de sobrevivir, y sobrevivir significa crecer, y crecer significa ventas, ventas y más ventas. Cuando yo creo una compañía que genera un producto, por ejemplo comida, lo primero que hago es asegurarme que mi comida es buena, que sabe bien, que le gusta a mis conocidos, que se compara con otros restaurantes de la zona. Una vez que hago esto, mantengo la calidad en la medida posible, reduzco costos y me dedico a vender. Desafortunadamente los servicios son muy diferentes en ese aspecto. Aunque el producto final es tangible (un sistema), el verdadero diferenciador está en el servicio con el que se genera ese producto, y ese servicio no es tangible. Es difícil de entender y de vender, eso muchas veces hace que se le reste importancia a cómo generamos el servicio con respecto a cómo lo vendemos. Esto al final de cuentas significa que el director de calidad debe de ayudar a la gente de ventas a entender los beneficios que trae una certificación de este tipo y ayudar a crear productos alrededor de estas nuevas posibilidades. Debe de ayudar a los vendedores a hacer tangibles los beneficios y empaquetarlos en el servicio para venderlo exitosamente. Esto no es sencillo porque pretende mejorar las ventas futuras y al mismo tiempo se debe de tomar en cuenta las ventas presentes. La Tremenda Fuerza en Contra del Cambio Citando a Maquiavelo, Debe de ser recordado que no hay tarea más difícil de completar y de más riesgos y de mayor incertidumbre en cuanto a su éxito que liderar la introducción de una forma nueva, creo que más claro no puede decirse. Contrario a lo que muchos piensan, el perfil del director de calidad debe ser 25% conocimiento técnico, 35% Ventas, y 40% Psicología. El punto más importante de su rol no es definir qué vamos a hacer, sino cómo vamos a guiar el comportamiento de la organización en todos los niveles para que responda de una misma forma. Lo que quita el sueño no debe ser si estimamos de una u otra manera, sino cómo hacemos para que todos estimemos igual. Si el Cigarro Mata, Por Qué Seguimos Fumando? En los últimos diez años ha existido un gran esfuerzo para eliminar el cigarro, debido al daño de salud que ocasiona. Desde las leyendas en los paquetes, a la suspensión de comerciales en radio y televisión, restaurantes con áreas divididas, etc. Si todos sabemos que el cigarro mata, por qué ha sido tan difícil eliminarlo? Así es la naturaleza humana. Aunque todos estemos de acuerdo que llevar planes de trabajo, planes de calidad, manejo de configuración, etc. es una excelente idea, esto no se va a dar por sí sólo. En numerosas ocasiones veo cómo contratamos personal con el conocimiento que consideramos necesario, y los soltamos para que arreglen los problemas sin jamás regresar a evaluar lo que está pasando, hasta que surgen graves problemas. La realidad es que el conocimiento no es suficiente, existen factores adicionales como presiones del medio ambiente, situaciones personales, actitudes, etc. Por esto se requiere una muy fuerte estrategia de convencimiento, mercadotecnia, incentivos, reglamentos, leyes y principalmente un seguimiento continuo a lo que está pasando a todos los niveles, para asegurar que todos se muevan en la misma dirección. El trabajo de un ingeniero de calidad es eterno, los problemas siempre existirán. Si en este momento es difícil vender una idea a un líder de proyecto, mañana será otra idea la que se tenga que vender, por lo que más vale que lo vayan disfrutando. Cualquier comentario que tengan sobre este artículo o ideas adicionales de por que no hacemos lo que sabemos que es correcto, por favor háganmela llegar a: lcuellar@agentesdecambio.org o en www.agentesdecambio.org. Luis Cuellar 10 MAR-ABR 2006 www.softwareguru.com.mx

LO QUE VIENE PRODUCTOS Eclipse Process Framework y Rational Method Composer La evolución de RUP Hace tiempo que los entusiastas del Proceso Unificado de Rational (RUP) se preguntan qué es lo que va a suceder con éste, si va a seguir como producto comercial, o a ser liberado a la comunidad. La respuesta en ambos casos es sí. A finales del 2005, IBM anunció que donaría a la Fundación Eclipse tecnología y propiedad intelectual relacionada con RUP. El objetivo es que Eclipse cuente con un conjunto de herramientas base para crear y utilizar procesos de software; es decir, una plataforma para procesos (algo similar a lo que era el Rational Process Workbench). La Fundación Eclipse ya está trabajando en este proyecto, denominado Eclipse Process Framework, el cual además de las herramientas para administración de procesos incluirá un par de procesos listos para usarse: el Basic Unified Process (BUP), que es una versión simplificada del RUP, y otro proceso basado en metodologías ágiles. Por su lado, IBM mantendrá una oferta comercial de RUP, aunque como producto ahora se llamará Rational Method Composer (RMC). Este producto estará montado sobre el Eclipse Process Framework, e incluirá diversas configuraciones de RUP, tales como: RUP para proyectos grandes, RUP para productos empaquetados, RUP para SOA, RUP para mantenimiento de aplicaciones. Así que los procesos de software pronto quedarán embebidos dentro de las herramientas de desarrollo. Por un lado, Visual Studio ya incluye el Microsoft Solutions Framework en diferentes configuraciones, y ahora Eclipse hará lo propio a través del Eclipse Process Framework. www.eclipse.org/epf/ www-306.ibm.com/software/awdtools/rmc/ Team Foundation Server A Punto de Liberarse PRODUCTOS Citrix Access Gateway Enterprise Edition Acceso Remoto por SSL Durante la conferencia VSLive en San Francisco, Microsoft anunció que en marzo saldrá al mercado Team Foundation Server (TFS), la pieza final de Visual Studio Team System (VSTS). TFS es el componente de VSTS para proveer control de versiones avanzado (en lugar de Visual SourceSafe) y gestión del cambio. Durante el evento, Microsoft también informó que el lanzamiento de Windows Vista sigue en pie para la segunda mitad del 2006, y que la próxima generación de Visual Studio, con nombre clave Orcas, se espera para la primera mitad del 2007. Orcas explotará las capacidades de Windows Vista, e incluirá varias de las tecnologías mostradas en el último Microsoft Professional Developer s Conference (PDC), como LINQ (un lenguaje unificado para acceder todo tipo de datos), Atlas (un framework para aplicaciones Ajax), Visual Studio Tools for Applications (una versión de VBA en.net), y Cider (un diseñador visual para Windows Presentation Foundation). Algunos de estos elementos ya pueden ser descargados como Community Technology Previews (CTPs) y se pueden integrar en Visual Studio 2005. msdn.microsoft.com/vstudio/teamsystem Las redes virtuales privadas (VPNs) basadas en SSL han tenido gran auge, y están comenzando a desplazar a las VPNs tipo IPSec como la solución más popular para lograr que los empleados, clientes y proveedores puedan acceder de manera remota y segura las aplicaciones de una empresa. Las soluciones modernas de VPNs SSL no solamente permiten acceder aplicaciones web, sino también aplicaciones tipo cliente-servidor, directorios de archivos en red, y hasta servicios de multimedia y voz. Gartner estima que para el 2008, las VPNs SSL serán el principal método de acceso remoto para más de dos terceras partes de los teletrabajadores de empresas, más de tres cuartas partes de los contratistas y más del 90% de los empleados con acceso ocasional. Entre los principales proveedores para VPNs SSL está Citrix, con su familia Citrix Access Gateway. Recientemente Citrix extendió esta familia con el lanzamiento del Citrix Access Gateway Enterprise Edition, el cual está dirigido al segmento de empresas que requiere la máxima escalabilidad y desempeño. www.citrix.com 12 MAR-ABR 2006 www.softwareguru.com.mx

TUTORIAL PRODUCTOS Criptografía con GNUpg Una Herramienta Sencilla, Poderosa y Gratuita Por J. Hernán Ramírez R. Seguramente usted, al igual que yo, ha tenido la necesidad de intercambiar información privada por Internet. Sin embargo, el correo electrónico con su protocolo SMTP no resulta seguro, debido a que no hace mucho énfasis en la verificación de la ruta que atravesó el correo; tampoco verifica que la persona que lo envió es quien dice ser y, por supuesto, no tiene forma de determinar que el correo que llegó a su destino es el mismo que el que fue enviado originalmente. En este artículo veremos como se puede utilizar GNUpg para cifrar mensajes. Un Poco de Historia En 1991 Philip Zimmermann creó un software para cifrado de correo electrónico llamado PGP, acrónimo de Pretty Good Privacy, que resolvía los problemas de seguridad de SMTP. Originalmente PGP se distribuyó en forma gratuita a través de Internet, y rápidamente se convirtió en el software de cifrado de correo electrónico más utilizado en el mundo. Sin embargo, versiones posteriores de PGP comenzaron a utilizar algoritmos patentados, y por lo tanto dejó de ser gratuito. Afortunadamente, para entonces ya se había definido un estándar de Internet denominado OpenPGP (RFC 2440), que documenta el formato de mensajes utilizado por PGP. Fue así que Werner Koch desarrolló GNUpg (GNU Privacy Guard) o gpg, el cual cumple con el estándar OpenPGP, pero utiliza algoritmos de cifrado de uso libre. Como Obtener GPG? Gpg se puede descargar del sitio www.gnupg.org, y está disponible tanto en código fuente, como en binarios para Linux, Mac y Windows. Los ejemplos de este artículo se realizan desde línea de comandos en una máquina con Linux Ubuntu, pero se pueden realizar de la misma manera sobre cualquier otra plataforma. El ejecutable gpg se utiliza con la siguiente estructura: gpg [opciones] comando [args] Generando Nuestra Llave Gpg utiliza un sistema de llaves asimétricas. Para empezar a utilizar (GPG) debemos crear nuestra llaves privadas y públicas, lo cual haremos con el comando gpg --gen-key. Gpg preguntará que tipo de llave se utilizará. Es preferible utilizar el predeterminado (DSA and Elgamal). $ gpg --gen-key Please select what kind of key you want: (1) DSA and Elgamal (default) (2) DSA (sign only) (5) RSA (sign only) Your selection? Luego le preguntará el tamaño de la llave. DSA keypair will have 1024 bits. ELG-E keys may be between 1024 and 4096 bits long. What keysize do you want? (2048) En este caso, seleccionaremos el valor default (2048). Luego preguntará si la llave debe caducar: What keysize do you want? (2048) Requested keysize is 2048 bits Please specify how long the key should be valid. 0 = key does not expire <n> = key expires in n days <n>w = key expires in n weeks <n>m = key expires in n months <n>y = key expires in n years Key is valid for? (0) En este caso, elegiremos 0 (la llave nunca caduca). Es una opción cómoda, de lo contrario cada vez que caduque la llave tendríamos que enviarla a todas las personas que empleaban la anterior. Después necesitamos identificar la llave con un usuario. Para esto se requiere escribir el nombre real, correo electrónico y algún comentario. You need a user ID to identify your key; the software constructs the user ID from the Real Name, Comment and Email Address in this form: Heinrich Heine (Der Dichter) heinrichh@duesseldorf.de Real name: Usuario A Email address: usuarioa@dominio.com Comment: Llave de prueba Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? Luego pedirá una clave para proteger la llave privada. Después de ingresarla, el programa generará el par de llaves. Curiosamente, el programa pide al usuario que durante este proceso haga diferentes cosas (mover el mouse, usar el teclado, etc) para generar mayor entropía en el sistema, y que así este pueda generar buenos números aleatorios. J. Hernán Ramírez R. es Licenciado en Computación, se desempeña como System Manager del Centro de Investigaciones de Astronomía (CIDA), y dicta cursos de extensión de ofimática y programación en la Facultad de Humanidades de la Universidad de los Andes Venezuela. 14 MAR-ABR 2006 www.softwareguru.com.mx

You need a Passphrase to protect your secret key. We need to generate a lot of random bytes. It is a good idea to perform some other action (type on the keyboard, move the mouse, utilize the disks) during the prime generation; this gives the random number generator a better chance to gain enough entropy...+++++++++++++++...++++++++++.+++++.++++++++++++++++++++.+++++..++++++++++. ++ ++++++++.+++++...+++++++++++++++++++++++++.+++++++++++++++.+++ ++.++++++++++......+++++ gpg: /home/hernanr/.gnupg/trustdb.gpg: trustdb created gpg: key F6A9C36B marked as ultimately trusted public and secret key created and signed. gpg: checking the trustdb gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u pub 1024D/2D8C015B 2005-12-19 Key fingerprint = 6127 0873 9812 543E BA72 2349 0B4A 5DFD F6A9 C36B uid Usuario A (Llave de prueba) <usuarioa@dominio.com> sub 2048g/B1CCF967 2005-12-19 Con esto, hemos generado el par de llaves para el Usuario A. Manejando las Llaves Públicas Para poder intercambiar mensajes cifrados con otra persona, esta otra persona debe conocer nuestra llave pública, y nosotros la suya. Para generar un archivo con una llave pública utilizamos el comando export. Con la opción u indicamos el usuario cuya llave queremos utilizar, o en este caso exportar. $ gpg --export -a -u usuarioa@dominio.com > pubkey.asc Una vez hecho esto, la llave se puede publicar a través de una página web, un servidor de claves públicas, o enviándola por correo electrónico. En este caso, deseamos intercambiar mensajes con el Usuario B, así que vamos a importar su llave pública utilizando el comando import. - No se asignado o evaluado la confiabilidad e Evaluación de confiabilidad fallida q No existe suficiente información para realizar la evaluación n No confiar nunca en esta llave. m Marginalmente confiable. f Confiable. u Plenamente confiable. Para firmar una llave, primero se utiliza el comando edit-key, y posteriormente se realizan las operaciones sign y save. Esto se muestra a continuación: $ gpg --edit-key usuariob pub 1024D/D9ACD3CF created: 2005-12-19 expires: never usage: CS trust: unknown validity: unknown sub 2048g/862B7711 created: 2005-12-19 expires: never usage: E [ unknown] (1). Usuario B <usuariob@dominio.com> Command>sign Are you sure that you want to sign this key with your key Usuario A <usuarioa@dominio.com> (2D8C015B) Really sign? (y/n) y Command>save Para listar las llaves públicas que tenemos registradas, utilizamos el comando list-key: $ gpg --list-key /home/usuarioa/.gnupg/pubring.gpg --------------------------------- pub 1024D/2D8C015B 2005-12-19 uid Usuario A <usuarioa@dominio.com> sub 2048g/B1CCF967 2005-12-19 $ ls demogpg pubkey.asc usuariob.pubkey.asc $ gpg --import usuariob.pubkey.asc gpg: key D9ACD3CF: public key Usuario B <usuariob@dominio.com> imported gpg: Total number processed: 1 gpg: imported: 1 Después de importar una llave pública, es posible firmarla. Esto es como darle el visto bueno, indicando que es confiable. El grado de confiabilidad de una llave puede ser uno de los siguientes: pub 1024D/D9ACD3CF 2005-12-19 uid Usuario B <usuariob@dominio.com> sub 2048g/862B7711 2005-12-19 Firma de Mensajes La firma digital se utiliza para certificar el origen e integridad de un mensaje o documento. Si el documento es modificado después de haber sido firmado, la verificación de la firma fallará. La forma en que esto funciona, es que el emisor genera un documento y lo firma utilizando su llave privada. Los receptores del documento pueden verificarlo utilizando la llave pública del emisor. www.softwareguru.com.mx MAR-ABR 2006 15

TUTORIAL PRODUCTOS Referencias www.debian.org/doc/manuals/reference/ch-gnupg.es.html www.insflug.org/comos/gpg-mini-como/gpg-mini-como.html gpg tiene varias maneras de aplicar firmas a los mensajes: Firma cifrada: Firma el mensaje y su contenido queda cifrado Firma en texto claro: Incluye el texto original (en claro), y lo firma Firma en otro archivo: Incluye la firma en un archivo separado Para realizar nuestro ejercicio, usaremos un archivo de texto plano denominado prueba1.txt que contenga cualquier pedazo de texto. Primero lo vamos a firmar utilizando el comando sign. Usaremos la opción -a para que el resultado sea un archivo 7-bit ASCII y no un archivo binario. $ gpg -a --sign prueba1.txt You need a passphrase to unlock the secret key for user: Usuario A <usuarioa@dominio.com> 1024-bit DSA key, ID 2D8C015B, created 2005-12-19 Enter passphrase: Vale la pena notar que siempre que se realiza una operación que requiera acceso a una llave privada, el sistema nos pedirá la clave asociada a esta llave. Una vez hecho esto, el sistema genera el archivo prueba1.txt.asc, que es la versión firmada del archivo original. Para verificarlo se utiliza el comando verify: $ gpg --verify prueba1.txt.asc gpg: Signature made Mon Dec 19 07:43:01 2005 VET using DSA key ID 2D8C015B gpg: Good signature from Usuario A <usuarioa@dominio.com> Si abre este archivo en un editor de texto, notará que su contenido original ahora está cifrado. Para descifrar el archivo utilizamos el comando decrypt. En este caso, deseamos que el resultado sea enviado al archivo prueba1_descifrado.txt, así que usamos la opción o. $ gpg -o prueba1_descifrado.txt --decrypt prueba1.txt.asc Si comparamos el contenido de prueba1_descifrado.txt nos daremos cuenta que es idéntico al archivo original. Para realizar una firma en claro, utilizamos la siguiente sintaxis: $ gpg --clearsign prueba1.txt Esto genera un archivo prueba1.txt.asc, el cual contiene el texto original del mensaje, y adiciona un pedazo con una firma digital. Este tipo de firma es el más común para enviar correo electrónico. También es posible que deseemos plasmar la firma en un archivo independiente, sin alterar el original. Esto es muy útil cuando se van a enviar archivos binarios como imágenes y archivos comprimidos. Esto se logra de la siguiente manera: Una vez generado el archivo con la firma, se puede validar si este es una firma válida del archivo original. $ gpg --verify archivo.sig archivo.zip gpg: Signature made Fri Dec 23 07:22:46 2005 VET using DSA key ID 2D8C015B gpg: Good signature from Usuario A <usuarioa@dominio.com> Cifrado para Recipientes Exclusivos Ya hemos visto como se utilizan las firmas para verificar el origen e integridad de un mensaje. Ahora veamos el escenario en que el Usuario A quiere generar un mensaje que solamente el Usuario B pueda descifrar. En este caso se utiliza el comando encrypt, acompañado de la opción recipient para indicar que el mensaje debe ser cifrado con la llave pública del Usuario B. $ gpg -a o MensajeCifrado.txt -encrypt --recipient usuariob@dominio.com MensajeOriginal.txt Este mensaje solamente podrá ser descifrado por el Usuario B, utilizando su llave privada. De hecho, si el Usuario A intenta descifrarlo, el sistema le dirá que no cuenta con la llave necesaria para hacerlo: $ gpg --decrypt MensajeCifrado.txt gpg: encrypted with 2048-bit ELG-E key, ID 862B7711, created 2005-12-19 Usuario B (Llave b) <usuariob@domain.com> gpg: decryption failed: secret key not available Sin embargo, el Usuario B si puede hacerlo: [usuariob]$ gpg -o MensajeDeUsuarioA.txt --decrypt MensajeCifrado.txt Conclusión Hemos visto como utilizar gpg para administrar llaves, firmar mensajes (sign) y cifrarlos (encrypt). Para una máxima seguridad, es posible tanto firmar como cifrar un mismo mensaje. De esta manera, el emisor asegura que solo los receptores deseados puedan leer el mensaje, y los receptores a su vez aseguran que dicho mensaje viene del emisor. Existen varios programas que nos permiten manejar GnuPG de manera gráfica: KGPG (http://developer.kde.org/~kgpg/screenshots.html) GNU Privacy Assistant (GPA) Enigmail es una herramienta que integra gpg con el cliente de correo Thunderbird Mail (nave.escomposlinux.org/productos/ extensiones/enigmail) y enigmail.mozdev.org) Quienes deseen escribirme mensajes cifrados, lo pueden hacer a través de mi correo electrónico hr@hernanramirez.info. Mi llave pública está en: hernanramirez.info/pubkey.asc $ gpg -o archivo.sig --detach-sign archivo.zip 16 MAR-ABR 2006 www.softwareguru.com.mx

ESPECIAL Cadena de Valor Móvil Obteniendo Ventaja Competitiva Por Mario R. Rodríguez En los últimos años ha aumentado considerablemente la cantidad de PDAs y teléfonos celulares; estos dispositivos comparten la característica de movilidad, que sumada a la facilidad de sincronización y a la tecnología inalámbrica, han extendido las posibilidades de comunicación y transferencia de datos. Las aplicaciones más comunes incorporadas a los dispositivos móviles son de propósito general, como agenda, calculadora, cámara fotográfica, correo electrónico, juegos y sincronización de datos. Pero más allá de esto, cómo una aplicación de negocio puede aprovechar la movilidad y traer beneficios a la empresa? Para responder a esta pregunta primero debemos tomar en cuenta que no todas las organizaciones tienen a su personal en movimiento y que además, al igual que sus clientes, no todos requieren acceder a información en cualquier momento o lugar, por lo que no en todas las áreas organizacionales se necesita de las aplicaciones móviles. El análisis que se presenta a continuación no está hecho para alguna industria en particular, y considera la cadena de valor como base para determinar el tipo de aplicaciones de las que se puede obtener un provecho para la organización. Aplicaciones que Apoyan la Estrategia Competitiva en Costo-Diferenciación El análisis de la cadena de valor es una técnica que sirve para dividir la secuencia (cadena) de las funciones de negocio en actividades estratégicas relevantes cuya utilidad (valor) es sumada a los productos y servicios. El análisis de la cadena de valor se realiza para entender el ambiente de costo y recursos de diferenciación (Shank & Govindarajan, 1993). Mario Ricardo Rodríguez Somohano se ha especializado en desarrollo de aplicaciones y tecnologías de Internet y es coordinador de consultoría de e-services y consultor en modelos de calidad CMMI y MoProSoft en el ESICenter México, organización del Tecnológico de Monterrey que se dedica a contribuir al desarrollo de la industria en México, Centro y Norte América, incrementando su competitividad a través de la difusión, la mejora continua y el conocimiento en tecnologías de información. mrodrigu@itesm.mx 18 MAR-ABR 2006 www.softwareguru.com.mx