Hace 2 años | Por candonga1 a eldiario.es
Publicado hace 2 años por candonga1 a eldiario.es

El sector de especialistas en ciberseguridad español es pequeño, la mayoría de los expertos y expertas del ramo se conocen. Por eso piden no ser identificados a la hora de posicionarse sobre el fallo de programación en el portal del certificado COVID de la Comunidad de Madrid que provocó que los datos personales de miles de ciudadanos quedaran al descubierto este miércoles.

Comentarios

coderspirit

#62 Muy poco senior, dirás. No confundamos ser "senior" con mandar. La falta de control corresponde a los cargos directivos (sean estos de negocio o de ingeniería), pero no a los desarrolladores senior.

Polarin

#65 Yo supongo que lo que quiere decir es que alguien mas "senior" dejo pasar "eso" por la revision de codigo, las pruebas de QA, ... Ni le corrieron un Burp, no?

Indra tienen mucho cuidado con ciertas secciones, SACTA por ejemplo. Pero otras son el conio de la Bernarda. Haciendo cuentas:

225.000:
30000 + 30000 +30000 (tres programadores) x 2 si son sunbcontratados = 90000 o 180.000 si son subcontratados.

O sea que por 225.000 tienes probablemente uno de Indra, un subcontratado, algun jefe, pues mas o menos = 30.000 + 50.000 + 60.000 = 140.000

Alguien que tenga cifras mas reales?

Pero vamos, dejar pasar "eso" a estas alturas.... que estamos en 2021 por dios santo.wall

D

#62 eso es lo que venía a decir yo. Si son tan pocos lo que dan el coñazo con la seguridad, que muchas veces te denuncian 200 vulnerabilidades de las que desestimas 199 por que en realidad no aplicaban, que se preocupen de que antes de poner algo en producción, en los pliegos venga presupuestado las pruebas de calidad, hacking etc. Ahora la culpa va a ser del chaval que haya pringado, no te jode.

s

#91 una pregunta, es habitual que exista la figura del auditor de ciberseguridad en la fase previa a producción o a veces se prescinde de ellos por el motivo que sea?

f

#91 Es que seran pocos, pero los buenos de verdad son menos... la de batallas que tengo yo cada semana con el equipo de "ciberseguridad" de la empresa porque el scanner de Azure ha detectado que algunas maquinas linux no tienen algunos parametros en ficheros de configuración de algunos servicios, cuando dichos servicios no estan corriendo...

coderspirit

#54
Añado: la administración pública no está equipada para evaluar la idoneidad de una aplicación en cuanto a seguridad (o incluso para saber qué medidas son necesarias en primer lugar), así que poco puede hacer a priori, hasta que se destapa el marrón. Lo que hacen falta son regulaciones a nivel estatal o supraestatal que obliguen tanto a proveedor como a cliente a asegurarse de que ciertas medidas se cumplen.

S

#54 CC #63 #86 Os cito para explicar por qué me refiero en concreto al sector público y no al privado.

Tenéis razón en que el sector privado puede tener perfectamente este problema, eso es cierto.
Pero el problema es que el sector público normalmente no corrige estos defectos hasta que es inevitable, además, nunca penaliza a las empresas que cometen estos errores porque sería "injusto" para un futuro penalizar todos los contratos con ellos.

Indra en concreto, ya hemos visto varias cagadas de ellos, y ahí siguen, detrás de muchísima parte del software público del país.

El sector privado lo tiene más fácil porque se adapta mejor a este tipo de cosas y filtra mucho mejor a los malos y a los buenos. Una empresa no podría sobrevivir alimentándose del sector privado durante 30 años si sus prácticas son malas, pero sí puede hacerlo del público.

Y es verdad que la cagada es de Indra, pero es el propio modelo que impulsa el sector público que fomenta que haya estas cagadas. Concursos con muy poco presupuesto, no examinar y evaluar los resultados, no exigir una calidad de producto mínima, etc...

Es el clásico ejemplo de "paga con cacahuetes y contratarás monos", pero llevado al sector público. Un portal para obtener certificados COVID necesita un nivel de seguridad crítico, y eso hay que pagarlo. Es un proyecto de un par de millones de euros. Por supuesto pagar más también implicar exigir una calidad final, que tampoco se hace.

redscare

#93 Entiendo lo que dices pero no estoy de acuerdo. 300K para un portal que básicamente expone UN servicio a internet debería ser mas que suficiente. No hacen falta 2M para contratar a un super guru de la seguridad y un ejercito de seniors. Con 300K te sobra para pagar a un buen ingeniero y un par de desarrolladores con pelos en los huevos/coño. Pero claro, si pones becarios pues pasa lo que pasa.

Y repito que en el sector privado pasa lo MISMO. He estado 10+ años en consultoria y he visto mierdas enormes de todos los colores. Mierdas hechas para Enagas, Canal de Isabel II, Metro de Madrid, bancos pequeños, medianos y gigantes, Ferrovial, Acciona, Prosegur, Securitas, Telefonica, Vodafone, empresas de autobuses... Y en algunos casos yo era el becario mal pagado con pocos conocimientos haciendo mierdas sin nadie guiandome. Y no pasan mas cosas porque muchas mierdas son internas y no estan de cara al publico. Y muchas de las que estan no son criticas. Pero claro, en cuanto aplicas lo mismo a algo relacionado con la sanidad o que trata datos personales y encima abierto a internet... pues pasa esto.

D

#97

300K a precio de venta, son unos 3-4 hombres-año. Igual 5 si te vas a una empresa muy cutre.

Si todo está funcionando y la base está puesta, te alcanza para montar algunos servicios, pero como tengas que partir de cero, la cosa puede estar jodida. Y si encima expones a internet ... apaga y vámonos.

J

#93 Me parece que solo le pondría una pega a eso, ¿esas empresas solo trabajan, o sobreviven gracias a, con el sector público? Luego resulta que esas empresas están metidas en todo tipo de desarrollos para el sector privado también, y tienen sus cagadas igualmente...

l

#63 la administracion publica si, la comunidad de madrid no lo se. Todas las aplicaciones a nivel "ministerial" en las que he participado han sido auditadas y evaluadas entre otros por el servicio de ciberseguridad del cni.

D

#63 Existe una regulación, el Esquema Nacional de Seguridad, que todas las administraciones están obligadas a cumplir y a hacer cumplir a los proveedores con los que contraten servicios que impliquen el tratamiento de datos de ciudadanos de forma digitalizada.

Sobitt

#54 "a veces no tiene sentido internalizar ciertos servicios como públicos, porque probablemente no habría suficiente volumen de trabajo"

En seguridad informática SIEMPRE hay y habrá volumen de trabajo a todos los niveles.

coderspirit

#67 La seguridad informática no es un trabajo homogéneo, y casi la mayor parte corresponde a desarrolladores "generalistas" que podrían no tener suficiente volumen de trabajo en la administración pública, eso asumiendo que tuvieran un puesto de trabajo digno donde no los putearan cada dos meses moviéndolos de departamento para ir a donde hiciera falta.

eldarel

#54 No es problema de desregulación.
Yo veo más de un contrato de servicios informáticos que incluyen penalizaciones y responsabilidad civil y penal si hay violaciones legales,no sólo RGPD.

D

#96

Antes había una norma que penalizaba las bajadas temerarias (si presentabas un precio por debajo de cierto porcentaje de la media te echaban directamente) Hace tiempo la quitó el PP y así salen las cosas. Presupuestan la mitad de lo que vale y te entregan con la calidad de la zona cutre del chino del barrio.

D

#54 Coincido con #96, existe una regulación, el Esquema Nacional de Seguridad, que la administración está obligada a cumplir y a hacer cumplir a los proveedores con los que contrate.

coderspirit

#96 Estoy seguro de que habrá penalización. Dais por descontado que no la hay cuando se descubre el pastel, pero eso es harto improbable, incluso con el PP al mando (que también se quieren cubrir el culo, no lo olvidemos).

P

#54 "Por otro lado, #1, a veces no tiene sentido internalizar ciertos servicios como públicos, porque probablemente no habría suficiente volumen de trabajo."

No soy #1 pero te puedo decir que el problema es que no hay forma de "internalizarlo", ahora mismo no hay otra forma de contratar personal no funcionario que no sea a través de pliegos a subcontratas.

D

#54

Esto ha sucedido por un encadenamiento de errores e imprevistos (y no un solo error)

El error re tigo yo cual ha sido: recorta, recorta, recorta, recorta qaue hay que entrar en ese precio.

¿Y de dónde recortas? De lo menos agradecido, de pruebas, soporte, seguridad ... todo lo que "no se vé" pero que es importante, sobre todo, cuando pasan cosas como estas.

mre13185

#54 Tan fácil como revisar los diseños que les pasaron a los desarrolladores juniors para ver si viene especificado que incluso esas peticiones deberían de ir autenticadas. Es un requisito de seguridad más que indispensable, que seguramente no estará especificado en la fase de definición de requisitos. Y el responsable de la definición de los requisitos tiene nombre: jefe de proyectos. Y en 500 y pico horas como especifica el contrato para el JP da tiempo a poner ese requisito y otros más.

Yo empezaría revisando los documentos del diseño, sobre todo los requisitos de seguridad.

redscare

#24 Dado que las mismas mierdas ocurren cuando es una empresa privada la que contrata a una consultora, no me parece serio ni justo decir que la culpa es del sector publico.

Yo diría que es algo endémico del sistema capitalista. Muchas veces el cliente no esta en condiciones de denunciar nada porque tiene las mismas practicas mierderas también y la consultora tiene pruebas de sobra para decir bastante ha hecho dado que los requisitos y el análisis inicial era una mierda pinchada en un palo.

Ejemplo de caso bastante sonado:
https://www.codemag.com/Article/1907041/Hertz-v-Accenture

P

#24 Justo en este tipo de casos no es así, o no solamente.

Fuera de que pueda ir a dedo la adjudicación, la empresa que se la lleva NO tiene a los profesionales en plantilla en gran parte de los casos y se pone a reclutar a toda pris. Y eso no es lo peor, otras veces lo que hacen es subcontratar a otras empresas (que también se llevan sus beneficios, por lo que queda menos $ para los trabajadores) que hacen lo mismo y como tienen menos margen suelen contratar a perfiles Junior y los hacen pasar por Senior.

Sé de casos con tres niveles de subcontratación. Además los gerentes de estas cárnicas tienen una actitud muy diferente frente al estado que frente a un cliente de la privada, lo ven como un saco sin fondo al que pueden sangrar y sangrar.

Pero sí, toooooda la culpa es del público, ¿el privado? Nada de nada hoyga, unos santos del liberalismo.

j

#24 no es culpa del sector público, es culpa del pp, que ha recibido dinero de empresas privadas y tiene que devolver los favores.

Con Indra tenían el plan de desmembrarla y regalar la parte más rentable, la de los contratos con defensa a algún amiguete.

Shotokax

#24 es lo que el pueblo vota.

c

#31 40 euros la hora?

Muy barato compras...

D

#40 Aquí está el desglose de precios (acordado en el contrato, seguramente no sea el real, como indican #51 y #31 roll ) para el proyecto en cuestión

coderspirit

#57 Los precios no son tan locos, el problema es el desglose, el cómo se reparten... consultor + arquitecto + jefe de proyecto + 2 "analistas" (que serán programadores juniors y ya, y de analistas nada)... tela, casi hay más "pseudo-jefes" que programadores.

D

#69 Bueno, hay un "analista" programador que se lleva toda la carga de trabajo. 3100 horas el muchachete (desde el 17 de mayo roll )

D

#69 Añado a #71

Son 7 semanas (approx) desde ese 17 de mayo. Esas 3100 horas, salen a 442 horas por semana. .

Me da que esos 26€ por hora del analista programador ha sido dividido entre más gente, que desde luego han cobrando menos de lo estipulado.

Jajaj, que piratas de mierda esto de Indra. lol lol

Me da que #40, #51 y #31 van por el buen camino.


Menos mal que no me metí en informática para mi carrera laboral. Lo siento por aquellos que lo hayan escogido y tengan que ser sometidos a tal nivel de precariedad.

Esclavismo puro y duro, nivel marca España.

D

#52 La misma conclusión que llego en #78

Esto es más ilegal que la madre que lo parió.


En un lugar decente esto provocaría no sólo dimisiones sino alguna sentencia de cárcel.

c

#78 Puede ser que facturaran 3100 horas y le dedicaran 310?

frg

#89 Que al final se convierten en 31 porque la misma mierda de proyecto ya se lo han vendido seguro a otras comunidades.

alpoza

#71 Como dice #78, habrán contratado a 10 AP para hacer el trabajo... sobre el papel, luego habrán puesto a currar la mitad de gente para sacar más pasta... que hay que pagar a los directivos, meter dinero en los sobres, secretarias...

z

#78 hoy en día precariedad poca. También depende a que tecnología te dediques y tus ganas de renovarte. Si lo que quieres es un puesto para toda la vida y sin quebraderos de cabeza ni aprender cosas nuevas en toda tu vida laboral, no es tu sitio (y de hecho lo bonito de la informática también es que avanza la tecnología y salen cosas nuevas continuamente). Podrás estar cobrando 1000 - 1500 euros al mes como mucho y ya esta.

Ahora, si le echas ganas y tratas de mejorar se te abren las puertas de par en par y es algo que no he visto en ninguna otra profesión. Que solo con tus aptitudes y esfuerzo puedas mejorar muchísimo sin tanto factor suerte o amiguismo.

Lo que se trata en la noticia y lo que comentas son consultoras, un periodo oscuro por el que la mayoría de programadores pasa cuando no tienen experiencia (cobrar cacahuetes durante 1 año o 2 mientras coges toda la experiencia posible para dar el salto a una buena empresa).

coderspirit

#78 Pues yo gano una pasta gansa. Eso sí, siempre huí de las cárnicas como de la peste.

Quepasapollo

#78 ya les gustaria al 90% de las profesiones hoy en dia cobrar y tener la capacidad de decidir donde trabajas de la mayoría de los informáticos (decentes)

mre13185

#71 Te lo dice por perfiles, no especifica el número de personal asignado a ese perfil. Si te fijas, es un desglose simple, tal y como podría estar especificado en el acta de constitución del proyecto. Lo del número de personal ya debería estar especificado en la siguiente fase.

Polmac

#69 Bueno, es que programar es una parte del trabajo, pero hay que hacer muchas otras cosas.

P

#57 Ahí fallan o las horas, o el coste por hora o que el perfil real no es el ofertado.

D

#82 Lo que seguro no falla es la cantidad de pasta ingresada por Indra.

kaysenescal

#57 Dejad de echar cuentas con los números y cargos que todos sabemos muy bien quien lo ha hecho y cuanto se le ha pagado.
Esto se a sub-sub-sub-sub-sub contratado a PericodelosPalotes IT Consulting. que coloca a picar código a 2 super juniors y un medio senior, por 800-1000e/mes junior y unos 1200/1500e/mes medio senior.

Los otros 210.000e restantes del coste se quedan por el camino en manos de amiguetes.

redscare

#98 Indra no necesita sub-sub-sub-sub-sub-contratar. Ya se ha encargado de echar a la mayoría de gente senior de su plantilla para contratar juniors a precio de derribo.

D

#98 No, pero está bien destacarlo con número oficiales.

Es como si tienes un vídeo de un soborno o una evidencia irrefutable de que la estafa y el engaño está ahí.

Acostumbramos mucho a hablar de supuestos y de cosas que "sabemos", pero sin aportar pruebas. Esto convierte lo que "sabemos" en simples supuestos que nadie va a dedicar tiempo si son ciertos o no, porque simplemente no hay pruebas.

Esta prueba es clarificadora y digna de presentarse en un juzgado. Recordemos que tenemos los datos personales de 11 millones de españoles a la vista de todo el mundo, sin ningún tipo de seguridad (casi lo de menos es que también los del rey y los de Sánchesz hayan estado al descubierto, si me apuras, viendo las dimensiones del asunto).

No dejemos de "hacer cuentas", destaquémosalas, repitámoslas para así evidenciar lo que todos "sabemos", pero esta vez con pruebas que cualquier fiscal utilizaría.


El siguiente paso es depurar responsabilidades en esta estafa (por mucho de urgencia que haya sido por tema Covid) y empezar a concretar dando nombres.

Ahí el personal (top managers) empezaría a acojonarse, y el feudo de la contratación a nivel esclavista, se minimizaría por lo menos algo en este país.

Chimuelo

#31 La cruda realidad es que se paga por 10 senior y les venden 2 senior, 6 junior y 2 becarios.

jubileta

#51 10 senior = 3 senior + 4 juniors + 1 becario. Nunca suman 10.

T

#68 Es que no puedes poner a los becarios que no les estás pagando.

coderspirit

#31 Yo como freelance cobraba 65 la hora, sólo para mi, sin mandaos a mi cargo ni nadie por encima, y aun me decían que era demasiado barato...

T

#31 El problema es que los problemas que se generan en el cliente no repercute en nuevos contratos, si el cliente sigue volviendo a por más de lo mismo significa que al cliente le gusta.

z

#31 básicamente. Trabajé en una gran consultora y sacamos un proyecto de una app para un cliente entre 2 juniors por plataforma (ios android) sin tener ni puta idea (nos dejamos los huevos eso si)... yo cobraba 18k brutos año y era junior junior junior. Ninguno cobraba mas de 24k. Mas adelante estabamos ya solo uno por plataforma e hicimos otra parte nueva en la app que se presupuesto en 20k.

El tema de las consultoras en España es para hacérselo mirar, y sobre todo las que ganan contratos públicos.

D

#1 o estaríamos aún haciendo CGIs en perl porque es lo que se ha hecho toda la vida y ahora no me lo vas a cambiar. Y te esperas que acabo de llegar pero es mi hora del bocadillo y no me exijas rendimiento o te acusaré de querer privatizar

Butters

#32 Ahí le has dado. Necesitaríamos tener todos instalado iexplorer 5.5 y máquina virtual de java 1.4.10 para poder operar con la administración.

D

#55 #32 Oye pues Mojolicious (Perl) con OpenBSD y tanto Perl como httpd bajo pledge y unveil serian preribles a ISS y w2k3.

Gazpachop

#1 El problema aquí, más que la privatización, es la cultura cárnica de la consultoría y la sucontración. Donde los resultados los miran sólo en euros y no en calidad.

e

#1 Estoy de acuerdo pero, sinceramente, si una empresa del montón que se especializa en crear código para terceros tiene un error de este estilo (y no es la primera vez que pasa con Indra), nadie con dos dedos de frente les contrataría para hacer nada más, especialmente no por 200k ni con algo tan grande e importante como esto. El problema debe de ser los chanchullos que hay para que Indra acabe siendo contratada por la mitad de los gobiernos de España para seguir haciendo las webs más horrorosas, inseguras y rotas de España.

Es que joder, soy ingeniero informático y no soy uno de esos "expertos en seguridad" que cita la noticia, pero el error que comentan es lo más básico del mundo. Trabajo en una empresa pequeña y si llego a crear un "endpoint" abierto al mundo sin ningún tipo de seguridad, alguien me diría algo. Y somos 3 personas en el proyecto. No entiendo el proceso que tienen para que alguien la cague en algo tan obvio, nadie en la PR se dé cuenta, ningún tester lo haya detectado ni, cuando estás preparado para entregar el proyecto, ninguno de los involucrados se le haya venido a la cabeza el tema de autorización. Es que no puede ser. El hecho de que una empresa tan grande y con tanto presupuesto haya puesto esto en producción significa que: o ninguna de las personas involucradas en el proyecto sabe lo más básico sobre seguridad o, literalmente, se las suda y nadie mira nada antes de entregárselo al cliente. Tanto una como otra serían suficientes razones para que Indra no vuelva a tocar código público en su vida.

arcangel2p

#79 No me extrañaría que ese método para consultar los datos fuese exigencia del cliente, o por desconocimiento, o para integrarlo de forma torticera con otro software ya existente.

eldarel

#94 Aún así hay mecanismos de compensación para manejar las peticiones de forma segura en Internet.
No tienen que ser obligatoriamente SBC (Session Border Controllers)

dadelmo

#1 En este caso, subcontratar tecnología está bien. Para un proyecto acotado, de 3 meses necesita especialidad y alguien con experiencia para sacarlo adelante. El problema es que se pague a Indra para esto y encima no aporte la seguridad y calidad que se espera.

Y por cierto, conociendo los precios de mercado de este tipo de proyecto, 225k es poco y una tarifa de 26€ la hora es bajísima. Al final, la CAM ha tenido un resultado acorde con lo que han pagado.

M

#1 Claro pero en el mundo de la informática, es bastante frecuente que los trabajadores queden desactualizados y muchas veces es imposible reciclarlos, ¿que haces con ellos en este momento si fuesen funcionarios? Despedirlos no puedes.

Thelion

#1 Si no nos quejamos ni actuamos ante las chapuzas, o ante la mala calidad china, o ante las mierdas que nos venden en alimentación, etc. pues tienen carta blanca para hacer lo que quieraaaaaaan
Y tanto a nivel de particulares como de empresas.
Se ha perdido el sentido de la exigencia de calidad.

The_Ignorator

#2 "Tú contrata a este amigo de mi sobrino de becario, que le prometemos ficharle de indefinido al finalizar el proyecto"

gamberro

#4 es que ha subcontratado a un negro para q le escriba el comentario. Como Ana Rosa

imagosg

#4 Correcto. He escrito Telemadrid, y es la CAM. Perdón.

anasmoon

#6 Bueno, ahora que Ayuso se ha hecho con el control, no habrá mucha diferencia entre lo que digan una y otra.

camvalf

#6 espero que no vuelva a suceder

GranTipo

#4 no pago nada, pero la va a pagar

K

#2 Telemadrid no tiene nada que ver con esta historia.

mariKarmo

#2 Telemadrid ha contratado a Indra? ay que me LOL, maricón.

fanchulitopico

#19 qué raro Indra haciendo chapuzas.

LeDYoM

#2 Es el típico NaaS
Ñapa as a Service

D

#2 "La multinacional Indra) ha reconocido la existencia del fallo pero ha rehusado dar cualquier explicación al respecto, derivando toda comunicación sobre lo sucedido a los portavoces de la Comunidad de Madrid.

Fuentes de la Consejería de Sanidad han explicado que "la incidencia ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas", pero que "en el proceso de puesta en marcha generó una brecha".


La Comunidad de Madrid y en particular la consejería de Sanidad es la responsable del pifostio.


Además (y por suerte, esperemos)


"La Agencia Española de Protección de Datos (AEPD) ha abierto este jueves una investigación sobre la brecha de seguridad que afectó ayer al portal para obtener el certificado COVID de la Comunidad de Madrid, han confirmado fuentes del organismo a este medio.

La implicación de Indra en la brecha es relevante a efectos de la futura resolución de la AEPD, puesto que este organismo no puede imponer multas económicas a las administraciones públicas aunque encuentre que ha existido dejación de responsabilidades en la protección de los datos personales de los ciudadanos. Sí puede hacerlo, en cambio, si encuentra esas mismas faltas en la actuación de una empresa privada como Indra."

thrasher

#42 como desgloso en #52, los analistas han tenido 17 semanas hombre para definir los requisitos

Omóplato

#52 Esto será como siempre... o regalito a dedo, o concurso para el que piden un aval de la hostia que solo se pueden permitir Indra o cárnicas de tamaño parecido. Entre ellas pactan a cuales presentarse y se reparten el pastel.

Después, además de lo que cuentas, sobrecostes por plazos no cumplidos, mantenimiento para arreglar chapuzas, etc. Un chollo de pasta gansa que pagamos todos.

xanty.gc

#52 Pone el perfil pero no el número de personas. Es fácil de justificar porque el consultor no es necesario durante toda la vida del proyecto. No es un consultor, un arquitecto y mucho menos un analista programador obviamente ...

No niego que un equipo de 5 desarrolladores así de primeras me parezca mucho.

mariKarmo

#23 Ay fill meu, si yo te contase la de tiquets que tengo hoy pendientes en la columna UAT de Jira..... jajajaja me da pereza solo de verlo. Viernes de QA.

skaworld

#34 Ahhhh por eso yo ahora soy un oompa loompa de cliente final, viernes de Julio, la mitad de mis usuarios de vacaciones y yo aqui que tengo q estar despierto y de guardia pero rascandome el hueval

#38 El caso es que aqui hay una cascada de errores cojonuda porque vale, te compro que el problema venga desde diseño (a saber donde se tiene que integrar esto para que tuviese acceso a estas mierdas) pero a partir de ahi.... ¿No habia mas ojos que se diesen cuenta de que igual, la estaban cagando? Y no ojos de junior, ojos con los huevos pelaos de desplegar aplicativos....

No se muy facil levantamos la mano a "es que era un crio y le pagan poco" y joer, los crios aprenden currando y eso lo hemos pasado todos, aquii la cagada gorda es que los crios no aprenden currando solos, solos ni de puta coña y ahí si esta la cagada

menjaprunes

#34 unidad anti terrorista? Karmo Bauer?

redscare

#38 Been there, done that:
-Hay que sacar los datos de las tablas A y B.
+Vale, que columnas?
-No se... todas?
+Pos fale.

R

#18 y hacerlo en tres semanas cuando el contrato dice 3 meses, eso también es importante

avalancha971

#17 El problema es que no hubiera pasado un control de calidad. Estas cosas normalmente son auditadas desde otro departamento, en muchos casos de otra empresa, que precisamente lo primero que comprueba son cosas de estas.

El error no es la persona que lo programó, sino la que lo dirigió sin incluir un control de calidad que incluyera seguridad.

mmpulido

Se lo adjudicó sin concurso a Indra el 3 de junio empleando el procedimiento de urgencia.No me diga usted más... un cuarto de millón de euros para unas "chusquillas" que al final hace un becario... alguien se lo ha llevado calentito, como antes. Al menos antes hacían depósito en la caja B, ahora ¿qué harán?

redscare

#42 La seguridad informática son los padres.

A los analistas se les pasa el requisito porque, en el mejor de los casos, son analistas de negocio que no tienen ni puta idea de requisitos no funcionales como seguridad o rendimiento. Eso cuando no son chavales con ~2 años de experiencia que tampoco tienen ni idea del negocio (HIPAA y GDPR son los padres también).

El equipo de desarrollo son chavales con ~1 año de experiencia que están aprendiendo a ostias el lenguaje de programación que se este usando en el proyecto.

NO HAY QA. NUNCA HAY QA. En 10+ años en consultoría he estado en la friolera de DOS proyectos con gente especifica para QA y testing. Los tests los hacen los mismos desarrolladores. Y claro, no tienen ni puta idea y el hijo de uno nunca es feo.

Respecto a lo que dicen de que se detecto por el equipo de QA, ya te digo yo que mienten. Quieren decir que cuando les dijeron lo que había dicho Telemadrid, alguien entro a mirar y efectivamente vio que era así.

jaitrum

#42 y el responsable de informática del proyecto por parte de la CAM, que se supone que es el que sabe los requisitos que quiere. ¿No hay nadie de la CAM a nivel funcional que valide la web antes de sacarla a producción?

'Oye, si solo hay un campo de DNI y se obtenen todos estos datos.. ¿esto es así?' Es que es tan burdo que no puede ser.

xanty.gc

#42
Problema cuatro: el contratante da el ok para la puesta en producción después de realizar las pruebas pertinentes de aceptación.

jejeje hacer las pruebas en producción es demasiado tarde ... lo que me fastidia es lo que dices, que se encalome el marrón a supuestos juniors o becarios.

sofazen

A ver, es un error tan burdo, tan evidente, que no es jurídicamente sancionable.

Doctrina Monasterios

r

Los pelotazos de las grandes empresas: cobran como senior lo que debería ser un junior. Lo mejor? Que después de las cagadas nadie pide explicaciones. Es un negocio redondo.

mudit0

A mí lo que me deja asustado es una cosa que se le escapó a Escudero en las primeras declaraciones, y es la culpa era de que había una nueva versión, que se había pasado a producción, y que antes de subir había pasado la cadena de testing.

¿Qué clase de testing hacen que no son capaces de detectar algo así?

El problema no es que haya un error (siempre puede haberlo), sino que no tienen ninguna infrastructura ni filtro para que esos errores no lleguen a producción.

morsafecal

#74 Se vende el testing, se factura el testing, no se hace testing, de ningun tipo, ni unitario ni de integracion ni de seguridad.

mudit0

#77 En este caso, es obvio que no. Sin embargo, en TODAS las empresas en las que yo he estado desde el año 2000, no hacer el testing no era una opción. Si el proyecto era interno se hacía, y si era externo, se hacía también lo pagara el cliente o no (y si no lo quería pagar o no se le daba opción o se le cobraba por otro lado). Con ello quiero decir que menuda "empresa" que se ha buscado la CAM.

perrico

#35 El máximo responsable es el que contrata y recepciona un producto sin la calidad suficiente. Y puede que sea Yolanda Díaz, o no.
Este artículo habla del un contrato de un producto con chapuzas a nivel muy básico.
Si la prensa de derechas no se le ha echado encima ayolanda Díaz por lo del SEPE es porque prefieren callar. Si tienen munición y no la usan es porque igual les explota encima.
De todas formas. Si ya interesado estás, no creo que sea muy difícil buscar quién es el responsable del contrato de mantenimiento del SEPE.
Puedes darnos una exclusiva.

O

LOL me parto con esa tabla de importes. En mis años trabajando en Indra NUNCA trabajé con un arquitecto. En todos los proyectos decidía yo la solución técnica a todos los niveles, desde el día que entré acabado de salir de la uni. El jefe de proyecto, el funcional y el consultor normalmente eran la misma persona.

morsafecal

Cualquiera que haya trabajado para una consultora grande sabe que el codigo lo pican los juniors y a cliente se le facturan seniors.

Esto es el pan de cada dia.

Ovlak

Surprise motherfucker

m

#11: Y suerte de que no hizo un DELETE FROM sin WHERE.
O dejar un formulario donde se puedan hacer inyecciones SQL y destruir toda la base de datos.

b

Y eso que Indra maneja cositas militares que espero gestione un poco mejor. Sobre todo las que vuelan

T

Todos estos fallos los debe corregir la consultora gratis, de forma que para otra vez le interese poner menos juniors y más gente que saque el trabajo con más solidez.

J4cklpn

#85 Alguien en Indra se está descojonando con tu comentario. Los responsables se irán a comer una mariscada este fin de semana y el lunes es posible que despidan a uno o dos becarios.

xanty.gc

#85 hombre, unos trabajos que la administración de turno ha considerado aptos para ser puestos en producción ... al menos es dudoso exigir que se arregle. Otra cosa es que en el contrato se hayan especificado unas garantías.

Tampoco creo que sea un problema de juniors. Es un problema estructural del sector de consultoría.

D

Pues sí que es eficiente subcontrar.

io1976

Otro ejemplo más de la excelente colaboración público-privada.

g

Solo?

matacca

Mentira. No es un error de novato. Cualquiera sabe que la seguridad de acceso a datos personales cuando se desarrolla una aplicación de caracter publico es lo primero en lo que pensar. Esto es dejadez. El "para qué me voy a molestar en desarrollar nada si lo mismo nadie se da cuenta".

E

Que raro que Indra esté detrás... no me lo esperaba!

j

Indra como otras empresas, tiene su cúpula en la que no entrarás en la vida. Contratan monos abajo que están entrando y saliendo de la empresa, hacen contactos en la capital, llevándose contratos jugosos y esa cúpula es la que se lleva la gran mayor parte de la pasta. Son las cárnicas del software. Y aquí en España el que curra de esto sabes cuáles son. Sólo tendrán algunos proyectos serios, de resto es una mamadera para los 4 manager de arriba.

MisturaFina

Codigo libre para todos los sistemas publicos! El fin de los chanchullos y las comisiones encubiertas. Un sistema que podria replicarse en otros paises. El codigo libre es revolución. Ya me voy github a crearlo.

D

Veo que lo de la subcontratación en cascada en la administración lo dominais ya. Así se explican la mierda de webs que vemos y la morterada de pasta que se supone que han costado. La única forma de arreglar esto es eliminando la corrupción que empieza por meter en la cárcel a los jueces que la consienten.

Pero no veo como un "experto en seguridad" puede ser responsable de bugs de programación. El programa sin bugs no existe y la QA del código es un arte adivinatorio.

kumo

Lo que no sé es cómo se sigue pagando a Indra por nada. Si fallan de lo lindo.

D

#21 Seguramente tenga los avales y garantías contractuales necesarias. Además de haber ofrecido la oferta más competitiva, teniendo en cuenta estos criterios.

Pero también existe la posibilidad de que la empresa tenga en plantilla a los amigos ( expoliticastros y familiares varios) necesarios para adjudicarse todos los proyectos de la administración habidos y por haber.

De hecho, este último criterio es el que con toda seguridad, les de el 100% de las posibilidades de llevarse el projecto.


Para ser precisos roll

D

#21 Pues tiene todas las certificaciones.

thrasher

#43 las certificaciones no garantizan nada, salvo que (como empresa) eres conocedor de los requisitos de esas certificaciones.

De hecho, para pasar las certificaciones se pone al frente a los más seniors, pero luego esa información, protocolos o requisitos nunca llegan a los equipos.

K

Te designoro un instante para devolverte el estúpido negativo a mi comentario. Vuelvo a ignorarte. Besitos.

R

#13 Eres el mismísimo "El cuervo", volviendo a la vida para vengarte de tus asesinos

K

Por supuesto, tiene que salir Ayuso en la foto, porque sin duda fue Ayuso en persona la que decidió contratar a Indra para desarrollar una aplicación y la que no controló la puesta en producción. Para qué vamos a pedirle explicaciones a los responsables del Sermas de este contrato (que son quienes tenían que salir en la foto), si podemos hacer pim pam pum con nuestro muñeco favorito.

K

#12 Y mi abuela fuma, pero no sé qué tiene que ver eso ni con la noticia ni con mi comentario.

e

#8 Pero luego revientan continuadamente la web del sepe y no verás que nadie mente a la Yoli.
Es el doble rasero de la nueva política. El mismo que el de la vieja política pero con una dosis extra de superioridad moral.

perrico

#20 ¿Quién hizo en contrato de mantenimiento informático del SEPE?
Igual te llevas una sorpresa.

e

#28 No me digas, Aznar o George W Bush. Quizás fuera nuestro querido paquito, quién sabe. Aunque yo diría que la máxima responsable es nuestra querida Yolanda.

c

#35 Yo diría que no. Ni Yolanda es la responsable de los sistemas informáticos del SEPE ni fue este Gobierno ni los partidos que lo conforman quienes contrataron el desarrollo y mantenimiento del msmo

t

#20 Si fuese segun tu comentario, quien deberia salir en la foto es el "Pedri".

R

#8 Tampoco ha construido ella el Zendal pero bien que sale en las fotos no?

Cuñado

#8 La web es de la Consejería de Sanidad, no del SERMAS.

El SERMAS es un organismo autónomo con capacidad de contratación, la Consejería de Sanidad no, contrata a través de la Comunidad de Madrid. El responsable de este contrato de emergencia es, como no podría ser de otra manera, el presidente de la Comunidad de Madrid.

Rodearse de asesores cuyo único interés es el lucro personal también es responsabilidad de Ayuso.

K

#33 El contrato es del SERMAS, así que ellos son los responsables del contrato.
¿De verdad crees que la responsabilidad de las decenas de miles de contratos que se hacen en la Comunidad de Madrid cada año es de su Presidente? En fin.

1 2