More than 35 courses, SANS top instructors, all in one great place! SANS 2009 is being held in Orlando, FL on March 2-9. Register today! Category: Widely Deployed Software Affected: Category: Widely Deployed Software Affected: Category: Widely Deployed Software Affected: Category: Widely Deployed Software Affected: This has nothing to do with security, or my case files. This is an open post to you, my readers, on a topic which is very dear to me due to a recent unfortunate event in my life.
Those of you that follow me on twitter know that I recently lost one of... "What's he doing?"
Cedric was whispering questions into Scrap's ear as I busily typed away into a shell window.
"He's doing what he does. He's looking for a contact lens in shag carpet." Scrap joked as he watched me searching through files on Cookie'... I am seriously getting sick of security companies spewing fear and terror to sell products. My inbox, voicemail and even my social network connections are full of this crap.
Case in point:
iWork 09 Virus
This is a perfect example of how an anti-virus... Reader RS pointed me at this article at sans.org by Lenny Zeltser. It's a good read and lists many of my pet peeves about INFOSEC 'professionals'. I've listed a few here - but you need to click and read the article for the whole enchilada.
From the a... A while back I wrote an incredibly popular post on getting a job in IT Security. With today's economy in a recession and unemployment approaching double-digits here in the United States, I thought it was time to revisit this post.
I received quite a ... Esta semana he tenido la oportunidad de asistir a un evento en el que estuvimos discutiendo sobre un nuevo modelo organizativo (aunque no es relevante, diré que era sobre la convergencia de seguridad lógica y física). Después de analizar todas las bondades del modelo y considerando lo poco habitual que es encontrárselo en la actualidad, se me ocurrió preguntar a los ponentes por los frenos que ellos consideraban que impedían su adopción. La respuesta fue tan simple como rotunda (gracias, Manuel): "Las personas" [con la Iglesia hemos topado, amigo Sancho]. Podríamos recurrir a la manida resistencia al cambio, pero después de leer la última novela del Dr. Goldratt, "The Choice" (gracias, Mario) coincido con él en que el comportamiento de las personas depende de sus zonas de confort: dentro de ellas encontramos mentes abiertas y acción, pero fuera, solo vemos dudas y resistencia. Y si no lo veis, pensar en cuántas veces, en vuestras propias organizaciones os encontráis con comportamientos asociados a esta idea: En definitiva, que somos nosotros los causantes de nuestras propias desdichas por nuestros miedos a lo que escapa de nuestro control / influencia [si es que alguna vez estuvo]. Por eso, la labor de un jefe debe ser explicar detallada y claramente los cambios, las nuevas situaciones de forma que todo el mundo sienta que no tiene nada que temer de las mismas y si, aún así, hay alguna persona que se resiste, desde luego, tomar medidas para que el resto (que sí ha adoptado los cambios) no se vean perjudicados. El pasado 3 de febrero tuvo lugar la primera reunión de bloggeros de la seguridad de la información (1st Security Blogger Summit) y si yo tuviera que hacer mi resumen, diría que se habló sobre todo de 2 aspectos: En algunos momentos, se generó un debate respecto a si la concienciación era suficiente o no, puesto que algunos bloggeros apostaban más por medidas a corto plazo. En realidad, creo que no debe ser un planteamiento alternativo. En mi opinión, sabemos que los efectos de la concienciación por la que trabajemos ahora los veremos cuando las generaciones actuales crezcan. Pero mientras tanto, no podemos dejar esto como está, así que tenemos que poner controles compensatorios para que en el corto plazo este entorno tenga unas medidas de seguridad razonables. En ese sentido, no me parece mal el planteamiento de que sea necesaria cierta acreditación para el manejo de determinados sistemas de información. Me explico: la utilización de cualquier herramienta (y más si es un sistema complejo) puede usarse en un ambiente amateur (sin necesitar ningún tipo de acreditación, por ejemplo, una sierra) o en un ambiente profesional (con todo tipo de medidas preventivas y formación específica para que sepa usarse adecuadamente). Pues bien, creo que lo mismo pasa con los sistemas de información; quizás en un entorno doméstico (léase, amateur) podría usarse sin ningún tipo de acreditación (lógicamente), pero también es cierto que en entornos profesionales (y las empresas lo son) quizás tendríamos que plantearnos que el uso de un medio productivo como es un sistema de información debería requerir de un planteamiento más profesional: formación, acreditación previa (a modo de Carné de manipulador de alimentos), etc. Ahí queda el debate... Una cosa que no os había contado es que me había criado en un bar. De hecho, el bar de mis padres y yo solo nos llevamos 2 meses (yo en julio y el bar en septiembre). Os cuento esto porque podríamos decir que soy consultor y que entiendo de bares. Y lo que quería contaros tiene que ver con las dos cosas.Hace unos días hablaba con un buen amigo (también consultor) y me comentaba que un cliente suyo había descubierto que tenía que hacer consultoría y se había puesto a ello sin más. Y justo a mi me acababa de pasar lo mismo. Como si ser consultor fuera cualquier cosa. Igual que poner un bar, parece que cualquiera puede montar un bar. Durante los más de 30 años que he pasado en el bar de mis padres, he visto a su alrededor montar decenas de bares y... cerrarlos en menos de 1 año. Y es que una cosa es tener el dinero para montar un bar y, otra muy distinta es ser capaz de sacar adelante ese negocio: Para todo hay que ser profesional, tanto para ser consultor como para montar un bar. Ya sé que hay muchos chistes sobre los consultores y que se hacen muchas gracias sobre ser consultor, pero la verdad es que ser un consultor experto no es trivial y mucho menos lo es subsistir como consultor con el paso del tiempo. En fin, una reflexión liviana para ir reentrando en la rutina... Y para finalizar con las lecturas del verano, esta magnífica obra sobre la construcción de métricas de seguridad, "Security Metrics" de Andrew Jaquith.No es una obra que se limite a enumerar métricas de seguridad, sino que "te enseña a pescar": qué debemos buscar, cómo construirlas, qué graficos emplear, qué colores... y también, claro está, algunos ejemplos. Me han gustado muchas reflexiones, pero os comento las más destacadas (a mi juicio): En definitiva, indispensable para aquellos que nos dedicamos al buen gobierno de la seguridad de la información... Lo compré siguiendo la recomendación de "mi jefa" que le gustó el título y no se equivocó (como casi siempre). Durante algunos momentos de la lectura, me recordó a ciertos episodios de comienzos de mi carrera profesional. Y es que Ferrazzi me recordó a un "compañero" que empezó conmigo en una de las big four y que demostró entender de que iba el asunto y manejarlo como un auténtico maestro. Evidentemente el llegó a socio mucho antes de que yo me marchara (sin llegar ni siquiera a senior manager). Gracias a Dios, parece que Ferrazzi aprendió algunas lecciones sobre su estilo de liderazgo que creo que mi antiguo "compañero" todavía no ha aprendido (quizás debería recomendarle el libro).Bueno, yendo al tema, es un libro que trata sobre cómo hacer networking y para los que me conocéis, os podréis imaginar que me ha venido muy bien, porque no es precisamente algo que domine. Todavía tengo pendiente decidir cuánto esfuerzo quiero dedicarle, pero indudablemente su forma de ver el networking me ha ayudado a darle un nuevo enfoque, sobre todo porque he visto que puede ser algo que se desarrolle, no algo innato (aunque evidentemente, hay algunos más predipuestos que otros). Como en los casos anteriores os adjunto algunas citas: "... el verdadero networking consiste en encontrar maneras de hacer que otros obtengan éxito".Así que ahora, sólo me queda ponerlo en práctica... Ya os contaré que tal me va... |
Feeds RSS












No coincido !! Lso empleados ...
Estoy totalmente de acuerdo con ...
Hace poco pregunté a la APD sobr...
Hola a todos. En referencia al t...
En mi opinión, no creo que sirva...