Archive for agosto 2015

OSCE: De irresponsabilidades, sucesos y visualizaciones

En estos días hemos visto un pequeño escandalo a propósito de la constatación de la pérdida de información del Organismo de Contrataciones del Estado (OSCE) correspondiente a los años comprendidos entre 2009 y 2012, esto en el marco de la investigación del caso Martin Belaunde Lossio, lo cual ha derivado en la citación de la Jefa de dicho organismo, Magali Rojas Delgado, ante la comisión del Congreso que investiga dicho hecho.

Para intentar hacer un análisis desde el punto de vista informático (no de “Sistemas” ¿ok?) y determinar responsabilidades y estrategias, repasemos la cronología de hechos:

  • Desde el 2011 se advirtió del posible colapso de la información almacenada en el Sistema Electrónico de Adquisiciones y Contrataciones del Estado (Seace), el jefe de la Unidad de Tecnología de la Información reiteradamente solicitó la compra de nuevos dispositivos de almacenamiento, su último requerimiento fue el 10 de Octubre de 2012. 
  • Tres semanas después, el servidor falla perdiéndose casi 800,000 archivos en el rango de fechas mencionado, un análisis indicó que en los discos ya se había agotado el espacio. 
  • Para agravar las cosas, se verifico que los backups no funcionaban, simplemente no era posible restaurar la información a partir de ellos. 
Todo esto ya suena mal, pero se pone peor cuando se dice que lo que había eran “problemas de visualización” y claro… de paso culpar al anterior responsable técnico, siendo que este ya había alertado del anterior problema. Ok, para entender un poco más respecto a esto debemos entender algunos detalles que deben rodear a toda organización que valora su información, y esta información puede comprender los detalles de las facturas, las planillas o en este caso particular: archivos digitalizados.
  1. Un plan de modelado de datos. Esto depende de cada organización, en algunos casos lo que se hace es tener una súper base de datos con toda la información existente desde sus orígenes, esta es la peor solución si tu data es muy grande, siendo que lo mas usual y recomendable es particionar la data (generalmente solo parte de ella) por periodos de tiempo, habilitando mecanismos para que si yo en pleno 2015 quiera acceder a información del 2013, no tenga problemas, como digo esto depende de la propia organización y de la estructura de su información. 
  2. Plan de backups. Esto es fundamental, uno debe trabajar pensando que eventualmente algo pasará y como estar preparado para ello, por eso se recomienda periódicamente verificar que los backups estén funcionando y que es posible recuperar la información almacenada, en este caso ya se indicó que eso no pasó, lo cual ya es patético, pues a estas alturas hay una gran madurez de las herramientas que permiten automatizar los backups, lo cual revela una negligencia total. Me acuerdo que en una empresa en la que trabaje, si bien teníamos backups automáticos de SQL Server, en adición a ello había mecanismos que periódicamente trasladaban a cinta esos archivos así como determinadas carpetas compartidas. De igual forma, en otro proyecto que desplegamos, me correspondió montar el plan automatizado de Backups, haciendo varias veces la prueba de que éramos o no capaces de levantar una BD basándonos en esos backups, como los recursos eran limitados, se dejo explicito que en caso de caída se podrían perder hasta 15 minutos de operaciones, lo cual fue asumido como compromiso por parte del equipo. 
  3. Monitoreo de los servidores. parece que el anterior responsable técnico de la OSCE sí que hizo esa labor, él sabía que los archivos iban creciendo progresivamente y que eventualmente habría un colapso y pidió la ampliación de recursos respectiva, eso esta bien y ahí entra en juego el burocratismo de las instituciones publicas para atender un pedido razonablemente barato (el espacio en disco es barato, y los nuevos equipos permiten enchufar nuevos discos duros de manera sencilla y hacerlos disponibles), o si no es el burocratismo simplemente irresponsabilidad de quien no valora la importancia de la continuidad de la información en la organización. 
Dicho esto, hay un detalle al que caigo en cuenta ahora que ordeno estos hechos de acuerdo a la información publicada: si yo veo que inevitablemente voy rumbo a la saturación de espacio en mis servidores, no me hacen caso en la compra de nuevos equipos, ¿qué es lo que hago entonces? ¿Digo simplemente “yo ya avise (ya estoy cubierto), no es mi problema” o trato de tomar las acciones para minimizar el daño con los recursos disponibles? Sí, claro, me dirán ¿y como minimizo el daño? Simple: garantizando que el plan de backups y recuperación de datos esté funcionando adecuadamente, y como ya hemos visto, eso no estaba funcionando.

Por otro lado, lo que si me pareció risible fueron las declaraciones de la abogada Rojas respecto a los “problemas de visualización”, con lo cual, no sé si por ignorancia o con intención de apelar a la ignorancia del público, trata de tapar lo que parece ser un problema de corrupción de datos. Me explico: a veces, cuando el disco tiene fallas físicas, o se ha producido un apagado imprevisto del equipo, es perfectamente posible que aun veamos como existente un archivo, pero que al intentar abrirlo o está vacío o simplemente la data este ilegiblé, al punto de que el programa que usemos para ver la información simplemente no pueda abrirlo, así que por mas que el archivo nominalmente este ahí la información ya se perdió, así de simple.

En conclusión, no es que hayan sido “víctimas de una serie de sucesos” sino simplemente se está pagando las consecuencias de una serie de omisiones y negligencias, tanto de la parte administrativa (no comprar a tiempo nuevos equipos) como del área técnica (no validar el plan de backup y restauración ante la inminencia de un colapso).



OSCE: 5 claves para entender pérdida de casi 800 mil archivos
OSCE reconoce que hubo problema en su base de datos 
Jefa de OSCE: “Somos víctimas de toda una serie de sucesos” 
OSCE: se perdieron 800 mil archivos de compras del Estado

Twitter