El 28/02/2013, a las 01:52, Edgar Vargas escribió: > El 27/02/13, Juan Manuel Acuña Barrera <gps...@gmail.com> escribió: >> >> El 27/02/2013, a las 05:06, Edgar Vargas escribió: >> >>> El día 26 de febrero de 2013 13:04, Juan Manuel Acuña Barrera >>> <gps...@gmail.com> escribió: >>>> Buenos días a todos. >>>> >>>> El día de hoy los molesto porque un cliente y amigo me hizo una petición >>>> muy particular, y recurro a su experiencia a ver si les ha tocado algo >>>> similar o me pueden orientar. Les expongo la situación: >>>> >>>> -> Mi cliente tiene software desarrollado a medida (php y mysql), en un >>>> servidor Debian. Este software fue mandado a hacer unos años atrás, y fue >>>> bastante costoso. >>> >>> Hola, de seguro que fue costoso y vale la pena restringir su uso, >>> porque lo mandó a hacer y le costó dinero, no hay nada de malo cuidar >>> su propiedad. >>> >>>> >>>> -> Ya por el tiempo que tiene este software es necesario hacer >>>> adecuaciones, pero mi cliente tiene miedo a que le roben el código fuente >>>> del mismo, porque en una actualización anterior del sistema, el >>>> desarrollador que tenían se enviaba él mismo a su correo partes de código >>>> fuente, fue descubierto y despedido, pero le dejó un muy mal sabor de >>>> boca a mi cliente, ya que este software es la ventaja competitiva que >>>> tiene mi cliente sobre su competencia, por lo que es vital para su >>>> negocio. >>> >>> >>> ¿Miedo? por qué? seguro que no tiene un equipo de confianza, seguro >>> tiene personas que son algo extrañas, debería de cambiar de personal. >>> >>> Cuando se trabaja con personas y se conversa con ellas bien claro y se >>> trata de cumplir los acuerdos medianamente no tiene porque suceder >>> este tipo de cosas, licencias sobre el sw, debería de tener y los >>> desarrollares debería de saberlas bien claro. >> >> El problema es que cuando mi cliente hizo este proceso hace algunos años, >> confió en el programador, el cual evidentemente no era una persona con ética >> profesional, y éste programador se llevó parte de su código, además de que >> solo hizo chapuzas. >> >>> >>>> >>>> -> Mi cliente quiere poner en una de sus oficinas un área para los >>>> desarrolladores (2 o 3 pc), con debian, para que los desarrolladores >>>> puedan actualizar el software, pero quiere que se pueda "garantizar" que >>>> no se llevan su código fuente. Pongo "garantizar" entre comillas por que >>>> me queda claro que no hay imposibles, pero mi labor es dificultarlo tanto >>>> como sea posible. Éstos equipos únicamente están destinados para el >>>> desarrollo de software, no hay ni audio ni impresoras ni nada de nada. >>>> Los equipos se conectan a internet por medio de un DSL común y >>>> corriente. >>> >>> >>> No se puede garantizar al 100%, te imaginas que yo lea ese codigo y lo >>> entienda y haga UNA COPIA EN MI DISCO DURO QUE ES MI CEREBRO? cómo me >>> vas a restringir a ese nivel? no se puede, solo teniendo claro las >>> reglas, de todas maneras el desarrollador llevará esa idea en su mente >>> y podrá usar ello en otro proyecto, algo similar pero para eso esta la >>> licencia, si es igual el dueño puede decirle es copia fie de mi >>> propiedad y debes leer la licencia que puse, las restringí y si no >>> mencionas al autor y no te pones en contacto conmigo te denunaciaré, y >>> se que fuiste tu porque uno de los desarrolladores fuiste tu, algo >>> asi, verdad? creo que hay licencias como GPL, BSD, etc., donde uno >>> puede usar ellas y restringir.} >> >> Estoy completamente de acuerdo que no hay garantía al 100%, y se lo he hecho >> saber a mi cliente varias veces, pero él insiste en su idea. >>> >>> ME parece que no lo estas asesorando buien a tu amigo o jefe, tu >>> deberías de conversar y mostrarle los pros y contras los riesgos, >>> etc., debes de leer licencias de sw y usar alguna que se adapte con la >>> necesidad, creo que una solución es que implementen bien las licencias >>> y contrate gente mas responsable y seria osea un profesional y no >>> extraños que no respetan las normas o reglas. >> >> Lo he comentado varias veces con él ... y nada :( >>>> >>>> Lo que he pensado es lo siguiente: >>>> >>>> -> Quitar todos los accesos USB a los equipos (usar equipos con ratón y >>>> teclado pci). >>> >>> medidas extremas, muy extremas, casi paranoico (segun yo) conversando >>> y haciendo las cosas como deben ser no debería de usarse estas medidas >>>> >>>> -> Quitar quemadores y similares de los equipos. >>> >>> Que manera de trabajar, se nota que algo sucede ahi, deberían de >>> reflexionar y hacer las cosas bien, son emdidas extremas muy extremas, >>> aunque quien sabe si asi trabajan pues no se puede hacer casi nada, >>> solo un consejo de mi parte respiren profundo y refelxionen algo anda >>> mal, eso no es normal, por qué llegar a esas medidas? si una máquina >>> necesita esas cosas para trabajar..., un caso que me sorprende... >> >> En este punto no coincido contigo, ya que en la empresa de mi cliente se >> maneja mucha información privada de sus clientes, por lo que ya de por si >> todos (o casi todos) los equipos de la empresa traen bloqueados los usb y >> los quemadores. Creo que para esto hay que determinar las condiciones >> particulares de cada entidad o empresa y en base a esto determinar cuales >> son las medidas "estandar" aplicables a la misma. > > Si me dirían a mi trabaja asi, de veras que me sorprendería mucho > porque pocos casos se ve ello, no hay un buen clima por ahí me haría > pensar que son muy extremistas y pensaría muchas cosas, por qué? > porque yo no soy extraño, respeto las cosas y robo nada, no se han > puesto a pensar en ello? causan mala impresión a futuros developers > que tal vez contraten.
Pues fijate que, contrario a lo que se puede pensar, se lleva bastante buen clima laboral en esa empresa, y mi cliente suele ser bastante buen jefe con sus empleados. Lo de las usb deshabilitadas y eso es por la info personal que manejan, que es bastante, y (me parece, no estoy seguro) tienen algún tipo de reglamentación al respecto. > > >> >>> >>>> >>>> -> Ya que los equipos se conectarían al servidor por internet, vía SSH, >>>> permitir únicamente que se conecte a dicho servidor (no se como hacerlo, >>>> pero me imagino que no debería ser tan difícil). >>> >>> Basta que este en internet ya no es seguro, theo (lider del proyecto >>> OpenBSD) decía hostil internet y el es uno de los que crea el sistema >>> operativo pensado en seguridad por defecto, entonces nada es seguro. >>> >>> Pero se puede aumentar el nievel de seguridad usando algunas >>> herramientas, pero no es completamente seguro, lo seguro sería >>> desconectar la maquina de internet. >>> >>> También lo importante es las PERSONAS los seres humanos, parece que no >>> estan tomando en cuenta, deben ser bien elegidas. >> >> Yo no haré la selección de personal. > > > AHI ESTA EL PROBLEMA, tu supongo que tu sentido común te dice que le > digas a tu cliente: "Amigo para evitarte malos ratos tienes que saber > a qué personas contratas, quién es tu equipo de trabajo, debes elegir > bien" así creo que deberías de aconsejar, de ahi para adelante ya no > puedes hacer nada, queda en mano s del tu cliente y por lo visto no > esta escogiendo un buen personal de confianza, si asi como dices ue le > roban el codigo mañana pueden robarle la empresa jaaj, en fin creo que > deberías ser más ingenioso tu al asesorar a tu cliente, que más que > cliente creo que es tu amigo..., en fin. Lo que le he recomendado apenas hace unos días es que tenga a sus programadores de planta, no solo para el proyecto a corto plazo, sino para que sean parte de la empresa. Obviamente el tema de la selección de personal es difícil y delicado, pero confío en que hará un buen trabajo. > >> >>>> >>>> ¿Alguien se ha enfrentado en el pasado a alguna situación similar? >>> >>> Si, algunas veces hice algunas cosas en programación y se lo vendí >>> todo, codigo fuente y manuales, me pago y me pregunto cosas sobre >>> proteger su codigo, le comenté sobre licencias, mi experiencia con >>> estas cosas de sw libre, internet, etc., etc., entendió y todo estuvo >>> bien, el comprendió y el sabe y conoce los riesgos y lo esta usando >>> bien, lo tienen unos cuantos y no hay problema. >>>> >>>> ¿Alguna recomendación para implementar lo anterior o para implementar >>>> otros o mejores candados? >>> >>> Las personas son importantes, luego sw y hardware, recuerda INGENIERIA >>> SOCIAL, los "mejores hackers" han hablado sobre ello, habras leido >>> supongo sobre ello, parece que no. >>> >>>> >>>> Como siempre les agradezco mucho el tiempo que se tomaron en leer este >>>> mensaje, que me quedó bastante más largo de lo esperado. También les >>>> agradezco mucho sus comentarios y sugerencias. >>> >>> Pues asesora bien a tu amigo o cliente, te toca estar en acción a ti >>> ahora. >> >> Te agradezco mucho tus comentarios. >> >> Saludos! >>> >>>> >>>> Saludos! >>> >>> Saludos. >>> >>>> >>>> Juan Manuel. >>>> >>>> -- >>>> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org >>>> with a subject of "unsubscribe". Trouble? Contact >>>> listmas...@lists.debian.org >>>> Archive: >>>> http://lists.debian.org/9816e1b9-50b8-40f4-83fb-f8eca7554...@gmail.com >>>> >> >> >> >> -- >> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact >> listmas...@lists.debian.org >> Archive: >> http://lists.debian.org/b7b6a180-96e0-4b1b-954b-151a380a1...@gmail.com >> >> Muchas gracias por tus comentarios. Saludos! -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/364b0a2f-9d08-46d6-b9eb-a9f154622...@gmail.com
