Feeds RSS sobre Seguridad

Esta semana he tenido la oportunidad de asistir a un evento en el que estuvimos discutiendo sobre un nuevo modelo organizativo (aunque no es relevante, diré que era sobre la convergencia de seguridad lógica y física).

Después de analizar todas las bondades del modelo y considerando lo poco habitual que es encontrárselo en la actualidad, se me ocurrió preguntar a los ponentes por los frenos que ellos consideraban que impedían su adopción. La respuesta fue tan simple como rotunda (gracias, Manuel): "Las personas" [con la Iglesia hemos topado, amigo Sancho].

Podríamos recurrir a la manida resistencia al cambio, pero después de leer la última novela del Dr. Goldratt, "The Choice" (gracias, Mario) coincido con él en que el comportamiento de las personas depende de sus zonas de confort: dentro de ellas encontramos mentes abiertas y acción, pero fuera, solo vemos dudas y resistencia.

Y si no lo veis, pensar en cuántas veces, en vuestras propias organizaciones os encontráis con comportamientos asociados a esta idea:

Personas que han cambiado de función pero que no se desenganchan y siguen inmiscuyéndose en la labor de su sucesor.
Procedimientos que se cambian pero que, a pesar de todo, las personas seguimos haciéndolo como antaño.
Profesionales comerciales con reticencias a vender los nuevos productos y servicios diseñados por la empresa.
Profesionales que no aplican las mejoras en los medios de producción o no aplican las nuevas líneas de reporting.
Y así, un largo etcétera de situaciones cotidianas que están explicadas por el mismo factor, no queremos salir de nuestras zonas de confort.

En definitiva, que somos nosotros los causantes de nuestras propias desdichas por nuestros miedos a lo que escapa de nuestro control / influencia [si es que alguna vez estuvo]. Por eso, la labor de un jefe debe ser explicar detallada y claramente los cambios, las nuevas situaciones de forma que todo el mundo sienta que no tiene nada que temer de las mismas y si, aún así, hay alguna persona que se resiste, desde luego, tomar medidas para que el resto (que sí ha adoptado los cambios) no se vean perjudicados.

El pasado 3 de febrero tuvo lugar la primera reunión de bloggeros de la seguridad de la información (1st Security Blogger Summit) y si yo tuviera que hacer mi resumen, diría que se habló sobre todo de 2 aspectos:

La concienciación de los usuarios, y de la sociedad en general, es un aspecto fundamental para lograr la mejora del nivel de seguridad de la red, siendo los usuarios domésticos los más afectados.

La habilitación de mecanismos de respuesta (con las dificultades que eso conlleva en cuanto a saber qué ha pasado y la problemática de la distinta regulación en diferentes países) es imprescindible para generar confianza en los usuarios de Internet.

En algunos momentos, se generó un debate respecto a si la concienciación era suficiente o no, puesto que algunos bloggeros apostaban más por medidas a corto plazo. En realidad, creo que no debe ser un planteamiento alternativo. En mi opinión, sabemos que los efectos de la concienciación por la que trabajemos ahora los veremos cuando las generaciones actuales crezcan. Pero mientras tanto, no podemos dejar esto como está, así que tenemos que poner controles compensatorios para que en el corto plazo este entorno tenga unas medidas de seguridad razonables.

En ese sentido, no me parece mal el planteamiento de que sea necesaria cierta acreditación para el manejo de determinados sistemas de información. Me explico: la utilización de cualquier herramienta (y más si es un sistema complejo) puede usarse en un ambiente amateur (sin necesitar ningún tipo de acreditación, por ejemplo, una sierra) o en un ambiente profesional (con todo tipo de medidas preventivas y formación específica para que sepa usarse adecuadamente). Pues bien, creo que lo mismo pasa con los sistemas de información; quizás en un entorno doméstico (léase, amateur) podría usarse sin ningún tipo de acreditación (lógicamente), pero también es cierto que en entornos profesionales (y las empresas lo son) quizás tendríamos que plantearnos que el uso de un medio productivo como es un sistema de información debería requerir de un planteamiento más profesional: formación, acreditación previa (a modo de Carné de manipulador de alimentos), etc.

Ahí queda el debate...

Una cosa que no os había contado es que me había criado en un bar. De hecho, el bar de mis padres y yo solo nos llevamos 2 meses (yo en julio y el bar en septiembre). Os cuento esto porque podríamos decir que soy consultor y que entiendo de bares. Y lo que quería contaros tiene que ver con las dos cosas.

Hace unos días hablaba con un buen amigo (también consultor) y me comentaba que un cliente suyo había descubierto que tenía que hacer consultoría y se había puesto a ello sin más. Y justo a mi me acababa de pasar lo mismo. Como si ser consultor fuera cualquier cosa. Igual que poner un bar, parece que cualquiera puede montar un bar.

Durante los más de 30 años que he pasado en el bar de mis padres, he visto a su alrededor montar decenas de bares y... cerrarlos en menos de 1 año. Y es que una cosa es tener el dinero para montar un bar y, otra muy distinta es ser capaz de sacar adelante ese negocio: Para todo hay que ser profesional, tanto para ser consultor como para montar un bar.

Ya sé que hay muchos chistes sobre los consultores y que se hacen muchas gracias sobre ser consultor, pero la verdad es que ser un consultor experto no es trivial y mucho menos lo es subsistir como consultor con el paso del tiempo.

En fin, una reflexión liviana para ir reentrando en la rutina...

Y para finalizar con las lecturas del verano, esta magnífica obra sobre la construcción de métricas de seguridad, "Security Metrics" de Andrew Jaquith.

No es una obra que se limite a enumerar métricas de seguridad, sino que "te enseña a pescar": qué debemos buscar, cómo construirlas, qué graficos emplear, qué colores... y también, claro está, algunos ejemplos.

Me han gustado muchas reflexiones, pero os comento las más destacadas (a mi juicio):

No debemos confundir las métricas de seguridad con el análisis de riesgos (por cierto, mi alter ego acaba de escribir sobre esto y coincide con Andrew sobre el problema que suponen las estimaciones para una buena medida).
Que las métricas deben ser: consistentes, baratas de obtener, expresadas como un número cardinal o un porcentaje, que deben utilizar al menos una unidad de medida y deben ser específicas del contexto.
La explicación que hace de la utilización de métricas para el diagnóstico de problemas, apoyándose en el funcionamiento de los experimentos científicos que no tiene desperdicio.
Evidentemente, el catálogo de métricas para el diagnóstico de problemas y la medición de la seguridad técnica (capítulo 3) y para medir la efectividad del programa de seguridad (capítulo 4) [por cierto utilizando COBIT].
Y, finalmente, el ejercicio de análisis para conseguir un balanced scorecard para la seguridad de la información que, aunque yo prefiero utilizar TOC, no quita para que sea un buen ejercicio de identificación de métricas relacionadas con el negocio (que es al fin y al cabo lo que perseguimos con este tipo de cuadros de mando).

En definitiva, indispensable para aquellos que nos dedicamos al buen gobierno de la seguridad de la información...

Lo compré siguiendo la recomendación de "mi jefa" que le gustó el título y no se equivocó (como casi siempre). Durante algunos momentos de la lectura, me recordó a ciertos episodios de comienzos de mi carrera profesional. Y es que Ferrazzi me recordó a un "compañero" que empezó conmigo en una de las big four y que demostró entender de que iba el asunto y manejarlo como un auténtico maestro. Evidentemente el llegó a socio mucho antes de que yo me marchara (sin llegar ni siquiera a senior manager). Gracias a Dios, parece que Ferrazzi aprendió algunas lecciones sobre su estilo de liderazgo que creo que mi antiguo "compañero" todavía no ha aprendido (quizás debería recomendarle el libro).

Bueno, yendo al tema, es un libro que trata sobre cómo hacer networking y para los que me conocéis, os podréis imaginar que me ha venido muy bien, porque no es precisamente algo que domine. Todavía tengo pendiente decidir cuánto esfuerzo quiero dedicarle, pero indudablemente su forma de ver el networking me ha ayudado a darle un nuevo enfoque, sobre todo porque he visto que puede ser algo que se desarrolle, no algo innato (aunque evidentemente, hay algunos más predipuestos que otros).

Como en los casos anteriores os adjunto algunas citas:

"... el verdadero networking consiste en encontrar maneras de hacer que otros obtengan éxito".

"Las relaciones se solidifican con la confianza".

"... es más fácil avanzar en la vida cuando las personas que trabajan para ti quieren ayudarte, que cuando desean tu fracaso."

"Si no haces amigos al relacionarte con la gente más vale que te resignes a tratar con gente a la que no le importa demasiado lo que te pueda pasar."

"Ser invisible es un destino mucho peor que fracasar. Eso significa que debes intentar conectar con otros siempre..."

"No dejes que la vanidad se filtre en tu manera de actuar, ni que cree en ti una sensación de merecer tu éxito"

Así que ahora, sólo me queda ponerlo en práctica... Ya os contaré que tal me va...