Se estudiarán en este punto, los factores a tener en cuenta durante la elección de un sistema operativo para servidores en una infraestructura informática.
Los puntos a tratar serán:
Utilización en el Mercado (a nivel Mundial)
Confiabilidad
Performance
Escalabilidad
Seguridad
TCO (Total cost of ownership – Costo total de propiedad)
Muchas veces es común pensar que un producto solamente es el mejor si tiene una utilización significativa en el mercado. Aunque este pensamiento puede ser banal, hay algo de racional en lo siguiente: los productos con mucho mercado tienen más aplicaciones disponibles, usuarios experimentados y aseguran más longevidad del mismo (lo cual redunda en soporte a futuro para el mismo).
Existe una excelente evidencia de que actualmente GNU/Linux tiene una importante utilización en el mercado mundial, hay una gran aceptación en empresas importantes y entes gubernamentales en el mundo.
En nuestro país se utilizan, en algunos organismos del estado estatales, servidores GNU/Linux y puestos de trabajo con software Open/Free de ofimática. A.N.Tel y la Intendencia Municipal de Montevideo son algunos de estos casos.
Algunos otros datos recabados como ejemplo:
En una encuesta realizada por Morgan Stanley en agosto de 2002 a 225 gerentes de empresa, el 29% respondió que tenían servidores GNU/Linux, el 8% respondió que estaban considerando formalmente su utilización y un 17% informalmente. De los encuestados que habían recientemente adquirido un servidor GNU/Linux, el 31% estaba ampliando servicios, otro 31% remplazando Servidores Windows, un 25% remplazando servidores Unix y un 14% otros sistemas operativos. Si bien la transición de un sistema UNIX a GNU/Linux es más fácil que la desde un sistema Windows, es interesante (e intrigante) que Windows haya sido remplazado en mayor porcentaje que UNIX. [26]
En una encuesta de noviembre de 2004 de InformationWeek se encontró que el 67% de las empresas encuestadas utilizan Software Open/Free y que otro 16% esperaba utilizar este tipo de software en el 2005, solo el 17% no piensa utilizar productos Open/Free. La encuesta también dio un resultado interesante; en general las empresas no ven al software Open/Free como riesgoso.[27]
Una encuesta de Evans Data publicada en Febrero de 2004 arroja que 1.1 millones de desarrolladores en Norte América trabajan en proyectos Open/Free. Si bien la mayoría no lo hace de tiempo completo, es un número bastante significativo (no se contabilizó en el resto del mundo). El tener tal número de desarrolladores impacta en las mejoras, longevidad e innovación de proyectos.[28]
Tal vez un dato interesante sobre el futuro de GNU/Linux y su utilización en el mercado sea que Sun haya anunciado la liberación de su sistema operativo Solaris como OpenSource para chips Intel y AMD. Probablemente la estrategia de Sun sea ganar mercado perdido en esta plataforma ya que en el último año el 65% de los servidores Intel y AMD fueron instalados con GNU/Linux. [29]
Otra muestra de que GNU/Linux está ganando mercado es que IBM haya anunciado que GNU/Linux será el sucesor de su sistema propietario AIX (tipo-UNIX), no sólo esto, sino que no tiene pensado portar sus aplicaciones para Sun Solaris (aunque sus clientes lo pidan), esto muestra un gran compromiso estratégico de IBM con GNU/Linux. [30]
Para cualquier producto de porte empresarial, existen tres puntos fundamentales a la hora de hablar de Seguridad:
Vulnerabilidad
Administración y aplicación de Parches y Upgrades
Disponibilidad y distribución de información sobre problemas de Seguridad
Vulnerabilidad
Como empresa, por más pequeña que se sea, al existir infraestructura de tecnologías de información, se debe de tener una política de seguridad. Teniendo en cuenta que hoy día es mucho más accesible para las PyMEs tener un entorno de red y conexión a Internet, las políticas de seguridad van más allá de la protección de datos a nivel de los usuarios de la empresa sino que se debe tener en cuenta la vulnerabilidad a ataques al servidor desde la red local y desde fuera de la empresa. Distintos tipos de virus provenientes de e-mail o la web, puertas de entrada laterales, spyware, etc. deben de tenerse en cuenta a la hora de proteger el o los servidores.
En general GNU/Linux y el Software Open/Free tiene bien resuelto tópicos básicos de seguridad como ser:
encriptación
certificados de autoridad y administración de usuarios
autenticación de usuario y control de acceso
Por lo general las distribuciones de GNU/Linux más populares contienen productos específicos de cada comunidad que realizan controles automáticos y periódicos referentes a la seguridad e integridad del sistema (por ejemplo, verificar contraseñas vacías, verificación de puertos abiertos, archivos sin dueño, dispositivos de red en modo promiscuo, etc.).
El verdadero desafío (y problema), es poder lograr un sistema seguro en una plataforma en red, sobretodo si está conectada con el resto del mundo. Dentro del Software Comercial/Propietario, cada empresa asegura que su producto es seguro y poco vulnerable. Por ejemplo, Microsoft pregona que Microsoft Server 2003 provee importantes mejoras y bondades en cuanto a seguridad. Por otro lado, sus detractores aseguran que en realidad son arreglos de mal código de versiones anteriores y que los agujeros de seguridad fueron arreglados limpiando código heredado de NT y Windows 3.51 o desactivando servicios que en versiones anteriores, se encontraban activos por defecto (ver apéndice 7.5).
Sabido es también que cuanto más se utiliza una plataforma, más susceptible a ataques y a encontrar agujeros de seguridad se es.
Cabe destacar que tanto Novell (Netware o SUSE Enterprise), como IBM (RED HAT Linux, AIX) o una solución Empresarial Open/Free corren con la ventaja de no tener el volumen de virus y malware como el que tiene en contra MicroSoft.
Reportes de Internet
Se pueden encontrar infinidad de reportes de seguridad de GNU/Linux en los cuales tenemos opiniones desencontradas:
Según encuesta de Evans Data de julio de 2004 a usuarios y administradores Linux
El 92 % de los encuestados nunca tuvieron su sistema Linux infectado por algún virus.
Menos del 7% dijo que habían tenido 3 o más intrusiones de hackers.
El 22 % de los encuestados dijo que solo una vez su sistema fue hackeado (De estos usuarios, el 23 % de los casos tenía que ver con intrusiones no autorizadas de empleados de la empresa.)
En general es difícil medir la seguridad de un sistema operativo y en la mayoría de los reportes que se encuentran publicados, se puede hallar información con datos de difícil interpretación y se deben de tomar ciertas precauciones y presupuestos a la hora de estudiarlos. Existen reportes como los de Mi2g [31], empresa de Londres dedicada a seguridad la cual reporta a Linux como el sistema con más intrusiones del mundo, seguido por Microsoft Windows y luego por último BSD y Apple OS X.
El estudio hecho por Mi2g analiza 235000 ataques exitosos contra sistemas permanentemente conectados - 24x7 online – en computadoras alrededor del mundo entre Noviembre de 2003 y Octubre de 2004.
Las computadoras corriendo GNU/Linux contabilizaron un 65% de los ataques, sistemas basados en Microsoft Windows un 25% y ataques exitosos hacia equipos con BSD y OS X contabilizaron en el entorno de los 4.8% del total.
En el 2004 del total de plataformas hackeadas, el 58% fueron contra entidades pequeñas (podremos considerar PyMEs aquí), 32,7% a computadoras hogareñas “siempre conectadas”.
Mi2g considera que muchas fallas de seguridad en los sistemas GNU/Linux son causa de las varias distribuciones del producto y la falta de procedimientos estandarizados para aplicar parches.
También añaden que las mayores quejas recibidas de los afectados son sobre la dificultad de encontrar un administrador de GNU/Linux calificado.
Se puede criticar un poco el estudio alegando que solo fueron considerados ataques directos o ataques manuales hechos por hackers y fueron excluidos virus, gusanos u otro tipo de malware, y lo que demuestra esto es en realidad es que entretanto el crecimiento de Linux es más grande, se convierte en un objetivo de más prioridad para los hackers.
Los defensores de GNU/Linux alegan que si Mi2g hubiera incluido ataques de virus y otros malwares de operación automática, GNU/Linux hubiera resultado más seguro que Windows.
En respuesta Mi2g aseguró que los sistemas BSDs y Mac OS X seguirían siendo más seguros que ambos.
Evaluaciones de seguridad formales
Más allá de los reportes, en los cuales se puede poner en tela de juicio la veracidad de los mismos, existen evaluaciones y testeos realizados a GNU/Linux de forma imparcial y de fuentes imparciales.
Algunas distribuciones de GNU/Linux y programas Open/Free han sido evaluados utilizando métodos formales como el internacionalmente reconocido Common Criteria1 (ISO Standard 15408) y NIST FIPS 140 (requerimientos de seguridad para módulos criptográficos de la National Institute of Standards and Technology) que son utilizados por ciertos entes gubernamentales estadounidenses. Existe una complicación con dichas certificaciones y es que los distribuidores (o proyectos) deben pagar la evaluación. Esto, en algunos casos, se hace inviable dada la magnitud del proyecto (pero no imposible), por lo general los distribuidores más populares y empresas grandes que apoyan y utilizan Software Open/Free realizan dichas certificaciones:
En Enero de 2004 SuSE Linux Enterprise Server (ahora perteneciente a Novell) pasó satisfactoriamente la evaluación Common Criteria CAPP/EAL3+ (Controlled Access Protection Profile / Evaluation Assurance Level 3 +) y esperan alcanzar EAL 4 en el 2005.
Red Hat Enterprise Linux 3 también paso dicha evaluación satisfactoriamente en Agosto de 2004.
Mandrakesoft en conjunto con otras empresas de Software Open/Free ganaron un contrato de un millón de Euros para ayudar a crear una solución basada en GNU/Linux de alta seguridad para el Ministerio de Defensa de Francia que sea certificada EAL 5.
La biblioteca de IBM Crypto para C (ICC) recibió el certificado de FIPS 140-2 nivel 1 en el 2004, dichas bibliotecas utilizan las bibliotecas criptográficas de OpenSSL (Software Open/Free).
The IBM Crypto for C (ICC) library received a FIPS 140-2 level 1 certificate #384 in 2004, and it uses the cryptographic library provided by OSS/FS OpenSSL.
Las bibliotecas criptográficas de OpenSSL fueron evaluadas también bajo el proceso de FIPS 140, los espónsores de dicha evaluación fueron HP y el programa DMLSS (Defense Medical Logistics Standard Support).
En junio de 2004, IBM (específicamente el proyecto LTIC, Linux Test Integration Center, de IBM ) presenta un reporte sobre un estudio de 3 meses acerca del testeo de las herramientas Open/Free para GNU/Linux existentes más maduras para implantar un sistema seguro en Internet. El estudio arroja un veredicto satisfactorio y presenta la forma recomendada de implantación del sistema para maximizar la seguridad, así también como las recomendaciones pertinentes acerca de políticas de upgrade de las herramientas, backup de los sistemas, etc. Realizan también, Comparaciónes entre las herramientas del mismo tipo con recomendaciones de cual utilizar dependiendo el caso. Las herramientas relevadas incluían Firewalls, sistemas de detección de intrusos y software de encriptación de comunicaciones y correo electrónico entre otras.
US-CERT
En Setiembre de 2003, se establece la US-CERT2, organización publico-privada encargada de registrar, investigar e informar acerca de problemas de seguridad informática en los Estados Unidos para mitigar los cyber-ataques en dicho país.
La US-CERT es responsable de :
Analizar y reducir las “cyber-amenazas” y vulnerabilidades.
Informar a la comunidad acerca de las amenazas.
Coordinar la actividad de respuestas (por proveedores) de cada incidente.
Teniendo en cuenta reportes de alerta la US-CERT de 2004:
TA04-336A
: Update Available for Microsoft Internet Explorer HTML Elements
Vulnerability
Original
Release: December 1, 2004
TA04-316A
: Cisco IOS Input Queue Vulnerability
Original
Release: November 11, 2004
TA04-315A
: Buffer Overflow in Microsoft Internet Explorer
Original
Release: November 10, 2004
TA04-293A
: Multiple Vulnerabilities in Microsoft Internet Explorer
Original
Release: October 19, 2004
TA04-261A
: Multiple Vulnerabilities in Mozilla Products
Original
Release: September 17, 2004
TA04-260A
: Microsoft Windows JPEG component buffer overflow
Original
Release: September 16, 2004
TA04-247A
: Vulnerabilities in MIT Kerberos 5
Original
Release: September 3, 2004
TA04-245A
: Multiple Vulnerabilities in Oracle Products
Original
Release: September 1, 2004
TA04-217A
: Multiple Vulnerabilities in libpng
Original
Release: August 4, 2004
TA04-212A
: Critical Vulnerabilities in Microsoft Windows
Original
Release: July 30, 2004
TA04-196A
: Multiple Vulnerabilities in Microsoft Windows Components and
Outlook Express
Original
Release: July 14, 2004
TA04-184A
: Internet Explorer Update to Disable ADODB.Stream ActiveX
Control
Original
Release: July 2, 2004
TA04-174A
: Multiple Vulnerabilities in ISC DHCP 3
Original
Release: June 22, 2004
TA04-163A
: Cross-Domain Redirect Vulnerability in Internet Explorer
Original
Release: June 11, 2004
TA04-160A
: SQL Injection Vulnerabilities in Oracle E-Business Suite
Original
Release: June 8, 2004
TA04-147A
: CVS Heap Overflow Vulnerability
Original
Release: May 26, 2004
TA04-111B
: Cisco IOS SNMP Message Handling Vulnerability
Original
Release: April 20, 2004
TA04-111A
: Vulnerabilities in TCP
Original
Release: April 20, 2004
TA04-104A
: Multiple Vulnerabilities in Microsoft Products
Original
Release: April 13, 2004
TA04-099A
: Cross-Domain Vulnerability in Outlook Express MHTML Protocol
Handler
Original
Release: April 8, 2004
TA04-078A
: Multiple Vulnerabilities in OpenSSL
Original
Release: March 18, 2004
TA04-070A
: Microsoft Outlook mailto URL Handling Vulnerability
Original
Release: March 10, 2004
TA04-041A
: Multiple Vulnerabilities in Microsoft ASN.1 Library
Original
Release: February 10, 2004
TA04-036A
: HTTP Parsing Vulnerabilities in Check Point Firewall-1
Original
Release: February 5, 2004
TA04-033A:
Multiple Vulnerabilities in Microsoft Internet Explorer
Original
release: February 2, 2004
TA04-028A:
W32/MyDoom.B Virus
Original
release: January 28, 2004
Vemos que, de todas las alertas de seguridad, solo 6 son para productos Open/Free.
La ventaja de disponer del código fuente
Se puede pensar que el disponer del código fuente de un producto da ventajas a los hackers para atacar dicho software (porque se tiene más información para realizar un ataque). Lo que no se toma en cuenta es que, disponer del código también da más información a la comunidad de usuarios de dicho producto y el hecho de que sea software Open/Free da la ventaja de mejorar dicho código.
Otro punto que se debe tener en cuenta es que desensambladores y decompiladores pueden extraer la información necesaria de los programas binarios para quebrar un programa, lo cual hace que el no contar con el código fuente no es necesariamente una ventaja.
Conclusión
Todos los reportes y estudios de seguridad que hemos relevado, favorable o no hacia GNU/Linux, concuerdan en lo mismo: sea cual sea la plataforma en la cual se está trabajando en un entorno empresarial (GNU/Linux u otras), la mitigación de vulnerabilidades de dicha plataforma se basa en la cantidad de información disponible acerca de los problemas de seguridad de la misma, una rápida respuesta por parte de los proveedores (o de la comunidad del proyecto) en cuanto a la generación de parches y upgrades y de una buena política de aplicación de los mismos.
Administración y aplicación de Parches y Upgrades
La celeridad de un proveedor de software en cuanto a la liberación de parches de problemas de seguridad es fundamental. Cuanto más rápido se solucione un problema de seguridad, menos comprometido se encontrará el sistema.
No necesariamente debemos asociar al software Comercial/Propietario con una rápida liberación de actualizaciones y parches de seguridad.
En enero del año 2000 SecurityPortal (Sitio de Internet dedicado al tema), realizó un estudio acerca de la celeridad de los distribuidores de software en solucionar problemas de seguridad de conocimiento público.
Se tomaron como problemas de seguridad de conocimiento público a:
Avisos de la CERT.
Problemas encontrados en mailing lists como BugTraq, Win32 dev lists, etc.
Avisos de consultores especializados en seguridad y grupos de hackers como ISS, L0pht, eEye, etc.
En algunos casos, avisos del distribuidor de software, en el cual aún admitía no tener solución al problema encontrado.
El estudio concluye que la empresa que más rápido respondió con actualizaciones y solución de problemas fue Red Hat Linux, con un promedio de 11.23 días de receso entre la detección de un problema y el parche para solucionarlo, luego Microsoft con 16.10 días y finalmente Sun con 89.5 días.
En junio de 2004 la CERT recomendó que se utilizara otro browser diferente a Microsoft Internet Explorer por razones de seguridad ya que Microsoft no había solucionado un problema crítico de seguridad y habían pasado 9 meses. CERT no tuvo otra opción que recomendar la utilización de otro browser mientras se solucionaba el tema.
En cualquier sistema operativo y software relacionado con seguridad, así como la celeridad de generación de parches y upgrades es importante, la aplicación de los mismos es vital para mantenerlo seguro. Independientemente de que se esté hablando de GNU/Linux como sistema empresarial, toda empresa debe tener una política de aplicación regular de upgrades y parches.
En la mayoría de las distribuciones más populares de GNU/Linux, existen herramientas gráficas de sencillo manejo para realizar upgrades de los productos. En general cada comunidad cuenta con un sitio web en Internet de donde se obtienen las últimas versiones de parches y upgrades, y los mismos se pueden bajar para instalación offline o se puede realizar la actualización online.
Disponibilidad y distribución de información sobre problemas de seguridad
No encontramos argumentos sólidos de que el ser un sistema operativo Open/Free ofrezca desventajas en cuanto a la disponibilidad de información sobre problemas de seguridad. Si bien empresas como Microsoft alegan que la naturaleza distribuida de GNU/Linux y del Software Open/Free hace difícil el disponer de información acerca de estos problemas, no vemos que esto sea así. Es abundante la información y es provista por organizaciones gubernamentales (CERT), listas de correo, publicaciones especializadas, sitios propios de las distribuciones de GNU/Linux, información, artículos y bases de conocimiento de empresas que apoyan a GNU/Linux (IBM, Novell). Toda esta información esta disponible al público en general.
Las pequeñas empresas que utilizan una solución informática comercial o propietaria en un escenario de red son, típicamente, de un solo servidor, el cual tiene dependencia crítica con la confiabilidad del sistema operativo y sus aplicaciones.
Como es visto comúnmente en grandes empresas, las soluciones con clusters de servidores e infraestructura de alta disponibilidad, son bastante atípicas en una PyME. Por esto, es esencial que tanto el servidor como las aplicaciones que corren en él, estén disponibles y corriendo sin problemas el mayor tiempo posible. Cualquier pérdida de disponibilidad del sistema podría derivar en pérdidas monetarias para la empresa. Aquí, la ventaja de GNU/Linux frente a in sistema operativo Comercial/Propietario es que el licenciamiento no restringe la cantidad de veces que se pueda instalar el sistema. Esto puede redundar en una solución de coste barato para poder implementar una solución de más de un servidor sin estar limitado por costos de licenciamiento.
La disponibilidad de un sistema se puede considerar una medida, generalmente representada como el porcentaje de tiempo servicio que un sistema es capaz de ofrecer como es esperado. Las medidas de confiabilidad en general son utilizadas para medir la probabilidad de falla de un solo componente del sistema y el nivel de disponibilidad mide el porcentaje de tiempo que un sistema esta activo y ejecutando procesos de usuarios finales o de otras plataformas clientes, pero la confiabilidad de todos los componentes de una solución informática — hardware, sistema operativo, aplicaciones, red, etc — puede afectar la disponibilidad de dicha solución.
Teniendo en cuenta que 100% de disponibilidad es el ideal, ¿....90% es “bastante bueno”?. La respuesta es: No a menos que, como empresa, se este conforme con una plataforma que este funcional 9 de cada 10 días. Típicamente, la disponibilidad de un sistema se mide en “nueves”. La siguiente tabla muestra la relación del porcentaje de disponibilidad y lo que representa en tiempo de indisponibilidad.
Disponibilidad |
Tiempo de indisponibilidad (anual) |
99,000% |
87,6 horas |
99,900% |
8,76 horas |
99,990% |
52,5 minutos |
99,999% |
5,25 minutos |
Dentro del Software Comercial/Propietario tenemos empresas como Novell, que asegura que con la configuración adecuada, su sistema operativo NetWare alcanza una disponibilidad de 99.999%. La consigna de la empresa acerca de la confiabilidad es: un servicio debe de funcionar hasta que se lo detenga a propósito.
Opiniones recabadas de ZDNet a varios administradores de red arrojan que entre reinicios de servidores, han corrido Windows NT por semanas, Windows 2000 y/o GNU/Linux por meses mientras que NetWare 3.1x/4.x por años.
Por su lado Microsoft asegura que la indisponibilidad de soluciones basadas en Windows Server 2003, son típicamente gracias a fallas de hardware, malos controladores de dispositivos periféricos, errores de usuario, control de cambio de procesos pobre y un muy bajo porcentaje atribuido al núcleo del sistema operativo.
GNU/Linux goza de una buena reputación cuando se trata el tema confiabilidad. Existen varios estudios y pruebas hechas sobre GNU/Linux acerca de su buen comportamiento bajo situaciones de carga extremas. Se citan algunas referencias:
Estudios de IBM encontraron que GNU/Linux es un sistema de gran confiabilidad. IBM corrió una serie de tests (de 30 y 60 días de duración) de carga extrema sobre el kernel y otros componentes del sistema operativo (incluyendo bibliotecas, drivers de dispositivos, sistema de archivos, red, administración de memoria, etc.), encontrando que todos ellos operaron de forma consistente y completaron todos los tests sin ninguna falla crítica de sistema. IBM declaró que dichos tests demostraron que GNU/Linux y los otros componentes del sistema operativo son confiables y estables y que pueden proveer un servicio robusto en un ambiente empresarial durante largos períodos de tiempo.[32]
En el año 2003 el proyecto LTC de IBM (Linux Test Center), realizó una serie de tests de estabilidad sobre el kernel 2.5 para ayudar a la comunidad a liberar su versión estable (versión 2.6) en una forma más rápida y confiable. La motivación fue que, cuando la comunidad de Linux pasó del kernel 2.3 al 2.4, llegar a estabilizar la versión del mismo llevó demasiado tiempo. Esto también habla de como empresas como IBM apuestan y tienen un compromiso declarado con GNU/Linux.[33]
Un estudio de Coverty (Empresa que se dedica a realizar análisis de código) encontró que el código de Linux3 contiene, en una forma significativa, menos errores que el promedio en software comercial del mismo porte. El análisis de Coverty encontró 985 defectos en 5.7 millones de líneas de código, de acuerdo a estudios realizados en la universidad de Carnegie Mellon un software de similar tamaño tiene usualmente, más de 5000 defectos. Seth Hallem, presidente de Coverty dijo que Linux es un muy buen sistema en términos de “densidad de errores”. Naturalmete, dichos errores fueron reportados a la comunidad de Linux para que sean solucionados. [34]
Una encuesta de NetCraft de mayo de 2004 encontró que 8 de los 10 proveedores de hosteo más confiables de Internet corren en sistemas Open/Free, 4 GNU/Linux y 4 en FreeBSD. [35]
Si bien existen varios reportes de performance (en general de GNU/Linux vs Windows), muchos difieren dependiendo de asunciones y de entornos de prueba específicos.
En el pasado los sistemas GNU/Linux “out of the box” (sin tunning correspondiente) en su interfaz gráfica, podrían haber sido menos performantes que otros sistemas de Microsoft más livianos como Windows 98 o 95.
Sin embargo, dada la potencia de los equipos Intel y AMD actuales, los avances en entornos gráficos de escritorio, y basados en las pruebas de utilización de las nuevas distribuciones de GNU/Linux por parte de los integrantes del proyecto, pudimos percibir una excelente performance del mismo y mejor utilización de recursos, en comparación con versiones recientes de Windows como ser 2000 o XP.
Si bien como mencionamos anteriormente, la imparcialidad de los reportes encontrados en Internet puede ponerse en tela de juicio, cabe resaltar algunos datos interesantes acerca de la performance de GNU/Linux:
Las pruebas de carga realizadas en el servidor de prueba de Mensajería Instantánea en Facultad de Ingeniería fueron satisfactorias y el servicio nunca fue degradado por los programas de carga masiva.
En el reporte de IBM mencionado anteriormente acerca de la estabilidad de GNU/Linux, se afirma que la performance no fue degradada durante las pruebas de carga y que el sistema escaló la utilización de recursos de hardware y manejó circunstancias de sobrecarga de manera apropiada.
En febrero de 2003, científicos rompieron el record de Internet2 Land Speed con GNU/Linux en el cual enviaron 6.3 Gb de datos sin comprimir en 58 segundos (a 923 megabits por segundo) desde California a Amsterdam. El equipo de científicos utilizó PC's con distribución Debian en Amsterdam y Red Hat en California.[36]
Si bien la escalabilidad se puede medir en varias formas, lo haremos en este estudio desde la perspectiva de PyME uruguaya, sin tener en cuenta la escalabilidad de GNU/Linux en cuanto a cantidad de plataformas de hardware soportadas, que de hecho, es muy amplia.
Es de esperar que la mayoría de Pequeñas y Medianas Empresas en Uruguay utilicen plataformas Intel o AMD como infraestructura de sistemas informáticos. Creemos que las ventajas de GNU/Linux en cuanto a capacidad de escalabilidad horizontal (poder incluir más equipamiento físico) a bajo costo, son importantes.
Si se utiliza software Comercial/Propietario tanto a nivel de desktops como de servidores, en cada adquisición de un equipo que requiera la instalación de dicho producto, se deberá pagar una nueva licencia de dicho software; en algunos casos, no sólo por equipo sino también por cantidad de procesadores en el mismo. Esto puede limitar a la empresa en su productividad por no contar con los recursos para ello. Con GNU/Linux no existe tal problema, pudiéndose instalar el sistema sin costo. También es de destacar que, al igual que el software Comercial/Propietario, cada versión nueva del sistema se desarrolla contemplando los avances de hardware del mercado.
El Costo Total de Propiedad (C.T.P.) de un software a nivel empresarial, es una medida importante. No importa si el costo inicial de adquisición es bajo si luego el producto resulta caro a largo plazo.
En general los estudios encontrados de C.T.P son muy susceptibles a factores asumidos. Prácticamente, para cualquier producto de Software (comercial, propietario u Open/Free), se pueden encontrar estudios en los cuales dicho software tiene el costo de propiedad más bajo.
Nos parece bueno destacar que el término Costo Total de Propiedad, cuando se habla de software propietario, esta mal usado ya que la empresa no es dueña de dicho software; generalmente lo que hace el proveedor es “rentar” el software por cierto tiempo y bajo ciertas condiciones de uso (en el apéndice 7.7 se brinda más información sobre los precios de algunas soluciones comerciales/propietarias). Si bien existen programas cuya licencia es “para siempre”, en éstos lo que se cobra son las actualizaciones.
Al hablar de Costo Total de Propiedad se deben de tener en cuenta muchos factores. Presentaremos aquí los más significativos y aplicables dentro de un entorno de PyME y veremos cómo encaja GNU/Linux en cada uno de ellos:
Costo de Software
Costo Inicial de adquisición - En general las distribuciones de GNU/Linux se pueden adquirir a costo cero o relativamente bajo. Otra ventaja es que en caso de obtener alguna distribución comercial de GNU/Linux (por ejemplo las ediciones empresariales de Red Hat, SuSE o Mandrake), no se necesita pagar por equipo o por procesador a diferencia de sistemas operativos comerciales.
Costo de Upgrades - El costo de upgrades es también en la mayoría de los casos nulo o muy bajo.
Costo de Hardware - Se pueden ahorrar costos significativos a nivel de hardware ya que GNU/Linux es adaptable a tareas específicas en hardware muy barato u obsoleto. Esta flexibilidad de configuración y adaptación para virtualmente cualquier hardware, pudiéndose aprovechar al máximo el ya disponible en la empresa. Por ejemplo se pueden aprovechar equipos en desuso como servidores de correo, firewalls, servidores de M.I., terminales tontas que corran programas en PC's más potentes, etc.
Costo de Soporte
Soporte informal - El soporte de las comunidades de Software Open/Free es en general muy bueno (dependiendo del proyecto se dispone de documentación en línea, mailing-lists, foros, etc.), siendo su único costo el acceso a Internet.
Soporte formal - Así como empresas comerciales (RedHat, Suse, Mandrake) brindan soporte de sus distribuciones GNU/Linux a costos accesibles, existen muchas empresas que dan soporte a software Open/Free. La ventaja sobre el software propietario es la amplia competitividad entre empresas y por ende el abaratamiento de los costos por el servicio. En general, el soporte del software propietario es brindado por el proveedor del mismo, lo que virtualmente lo habilita a poner el precio que le parezca por dicho soporte.
Costo de personal informático
Administración del sistema - El costo de administración de una instalación GNU/Linux depende de dos factores: del tipo de instalación y de la oferta de profesionales capacitados.
En conversaciones con una empresa local de outsourcing que ofrece servicios de administración, se afirmó que para configuraciones sencillas, se requiere muy poco trabajo: después de instalado y configurado el sistema, solamente se aplican parches cuando es necesario. En este caso por lo tanto, el costo de administración es bajo y hay suficiente oferta de profesionales.
En cambio para la administración de servicios GNU/Linux (administrador de red, DBA, administrador de aplicaciones específicas) o instalaciones complejas que requieren alta diponibilidad, la oferta de profesionales capacitados es menor que la de Microsoft.
La misma empresa observó que la oferta de profesionales Windows es en realidad engañosa, ya que muchas veces los profesionales con la capacitación y el conocimiento suficiente para administrar una instalación con cierta complejidad escasean.
Capacitación - Existen en plaza cursos muy completos de administración de plataforma GNU/Linux y sus servicios más comunes. Los cursos en general incluyen: inicio del sistema y diagnóstico de problemas en el mismo, recuperación de sistemas de archivos, configuración del kernel y sus módulos, aplicación de parches, redes TCP/IP y ruteo de paquetes, Servidores de Nombres de Dominio (DNS), servicios de mail, servidores NFS y Samba, servidores Web y seguridad del sistema. A marzo de 2005, los cursos más completos como máximo costaban alrededor de $U 11000.
Un punto a destacar es que en ambientes académicos la plataforma GNU/Linux o tipo UNIX es muy utilizada, y generalmente los profesionales en informática ya tienen el conocimiento de base para la auto capacitación mediante los soportes informales mencionados anteriormente. [37] [38]
Costos de capacitación de usuarios finales (Desktop) - en la actualidad la transición de un sistema totalmente con software Comercial/propietario a GNU/Linux puede realizarse a bajo costo.
Nos basamos en que la PyME en Uruguay utiliza en general sistemas y software Microsoft y que los empleados de dichas empresas ya están habituados a dicha plataforma.
Virtualmente existe un similar dentro del software Open/Free para cada paquete de software propietario y que su utilización en general no difiere mucho de los productos Microsoft.
La transición puede realizarse en etapas, ya que existen varios paquetes como herramientas de productividad Open Free que corren tanto en plataforma GNU/Linux como Windows.
El costo de capacitación de GNU/Linux de un usuario final más bien se puede tomar como un costo de fácil adaptación, o sea bajo.
Si bien la adaptación de un sistema de escritorio basado en Microsoft a uno GNU/Linux la reconocemos como poco problemática, existen cursos orientados a la utilización GNU/Linux como desktop con aplicaciones de ofimática. [39]
Durante muchos años GNU/Linux fue considerado, y con razón, como un sistema operativo para servidores. Si bien esto fue cierto, ya hace algún tiempo que GNU/Linux y sus paquetes Open/Free para desktop tienen la madurez para brindar una experiencia usuario final tanto intuitiva como productiva.
En cualquier empresa, por lo general, la única experiencia de la mayoría de los usuarios con computadoras es a través de su PC de escritorio o laptop; corriendo “aplicaciones básicas de cliente” como ser navegadores web, clientes de correo y/o de mensajería instantánea, reproductores de audio y software de ofimática, y posiblemente otras aplicaciones cliente específicas. Todas estas aplicaciones deben de tener una interfaz gráfica. Estas interfaces son soportadas por un entorno gráfico en común que corre bajo ellas .
Si bien GNU/Linux puede brindar a nivel de Puesto de Trabajo las mismas ventajas de seguridad, estabilidad y performance que vimos anteriormente en un entorno del servidor, creemos que la ventaja más significativa de GNU/Linux como Desktop en una PyME (dada ya la madurez que presenta el Sofware Open/Free en esta área) es el bajo costo (o ninguno) de adquisición y el bajo esfuerzo de adaptación que requiere el usuario para la utilización de las últimas distribuciones orientadas a este fin.
Vemos que GNU/Linux comenzó a utilizarse de forma seria a nivel de Desktop a partir del año 2002 aproximadamente, porque las aplicaciones básicas cliente comenzaron a ser maduras a partir de dicha fecha. Por cuestiones prácticas, los sistemas y aplicaciones cliente deben de ser compatibles con los líderes del mercado. Por ejemplo, los programas de ofimática deben ser capaces de leer y grabar en los formatos de Microsoft Office. Hoy día, las aplicaciones para Desktop de GNU/Linux están en un grado de madurez y usabilidad muy altos.
Empresas como Novell, Mandrake y RedHat apuestan a soluciones Desktop con software como Evolution (cliente de correo), gAIM (mensajería instantánea), OpenOffice.Org (ofimática), Mozilla Firefox y Firebird (navegador web y cliente de correo) para estaciones de trabajo Desktop.
SuSE tiene distribuciones específicas optimizadas para escritorios, así también distribuciones como Mandrake y Fedora se pueden customizar fácilmente para este fin.
Un punto a tener en cuenta es la usabilidad y adaptabilidad de usuarios de GNU/Linux ya que puede ser un factor determinante a la hora de optar por una solución Desktop íntegramente basada en GNU/Linux. Vale la pena mencionar que la mayoría de las aplicaciones antes nombradas también existen para plataforma Windows. Esto es de gran utilidad a la hora de migrar de una plataforma de base a otra ya que el primer paso es remplazar el software propietario por su equivalente en Windows para luego pasar a una solución netamente basada en Software Open/Free, sistema operativo y aplicaciones cliente.
Un estudio de Relevantive AG [40](Compañía de Berlín especializada en usabilidad de software y servicios Web que ofrece consultorías para empresas) realizado en Agosto de 2003 concluye que, hacia dicha fecha, Linux es sumamente amigable para el usuario final y puede llegar a dominarse de una forma casi tan fácil como Windows XP. Dicho estudio fue realizado con dos grupos de personas, un grupo utilizando una distribución SuSE 8.2 de GNU/Linux con entorno gráfico KDE 3.1.2 y el otro grupo utilizando Windows XP.
El estudio consistía en ver la facilidad con la que dichos grupos podrían realizar tareas utilizando estos sistemas operativos. El primer grupo (que debió utilizar la plataforma GNU/Linux) consistió de 60 usuarios de edad entre 25 y 55 años con conocimientos en computación pero sin experiencia previa con GNU/Linux o Windows XP. Dichos usuarios testearon el sistema operativo y software Open/Free realizando varias tareas, entre ellas, creación y administración de archivos, copiado de CD's y realización de tareas básicas de oficina (crear un documento de texto y envío de e-mail).
El otro grupo de 20 usuarios con las mismas características que los anteriores realizaron las mismas tareas en Windows XP.
El estudio sugiere que es casi tan fácil realizar en GNU/Linux la mayoría de tareas de oficina como lo es en Windows XP:
Por ejemplo, el grupo de usuarios de GNU/Linux necesitó en promedio 44,5 minutos realizar un conjunto de tareas que llevó 41,2 minutos al segundo grupo en Windows XP. El 80% de los usuarios del primer grupo (GNU/Linux) contestaron que creían que en una semana se podrían volver tan competentes en el nuevo sistema como lo son en el sistema que manejan actualmente, los usuarios de Windows XP contestaron lo mismo pero en más porcentaje, 85%.
El estudio concluyó que el punto fuerte de Windows XP fue el diseño del escritorio y el de la interfaz de los programas ya que el 100% de los usuarios contestaron que le gustaban dichas características del sistema contra 83% del primero grupo respecto a dichas características en GNU/Linux.
1 La Common Criteria provee de métodos estandarizados para definición de requerimientos de seguridad así como también define los respectivos test por los cuales debe ser evaluado el producto. Es ampliamente reconocido por profesionales de la Tecnología de la Información, agencias gubernamentales, y empresas como un sello de aprobación para software de misión crítica. Bajo la Common Criteria, los productos son evaluados en varios aspectos como ser: entorno de desarrollo, funcionalidad de la seguridad, manejo de vulnerabilidades, documentación relacionada a la seguridad y testeo de los productos.
2 US-CERT forma parte de la CERT /CC, centro de investigación de seguridad en Internet fundado en 1988 con fondos estatales cuya base se encuentra en la Universidad de Carnegie Mellon.
3Nótese la diferencia entre GNU/Linux y Linux simplemente. Mientras que el primero hace referencia al sistema operativo, el segundo se refiere al núcleo (o kernel) del mismo.
Estudio del Open/Free (GNU/Linux) como plataforma de servicios de red en entornos empresariales
Daniel Caraballo - Mario Madera - Marcelo Odin
Tutor: Ariel Sabiguero Yawelak
2004 - 2005.