Feeds:
Entradas
Comentarios

Cambios

 

En la vida existen distintos tipos de cambios. Algunos buenos, otros malos, otros inesperados y otros largamente deseados; sin embargo, aquellos cambios que realmente pueden transformar nuestras vidas se pierden, pues los dejamos ir debido al miedo que nos invoca la rutina, lo repetitivo, lo monótono, la comodidad en la que nos solemos encontrar cuando nos enfrentamos a ellos.

Todo cambio es una apuesta, en la que creemos que se puede ganar mucho pero a la vez se puede perder mucho también. Sin embargo, pocas veces visualizamos que en realidad todas aquellas cosas que podríamos perder en realidad no serán una pérdida, sino que más bien un sacrificio, una inversión, para llegar un poco más arriba del lugar donde estamos antes. Y en ese sentido, suelo siempre recordar una historia que leí en un libro cuando era 10 o 15 años más joven.

La historia hacía un paralelismo entre la vida y un edificio de departamentos. Nosotros partimos nuestra vida en el primer piso de este edificio, en el departamento más incómodo, frío y oscuro del lugar. Y a medida que ganamos experiencia, que vencemos en nuestras propias batallas personales, nos vamos moviendo de departamento en departamento en ese piso, a condiciones cada vez mejores, consiguiendo respeto y admiración de nuestros pares, hasta llegar al final del piso. Más cómodos no podemos estar; somos los más experimentados, los más sabios, los que viven en mejores condiciones del piso. Es ahí donde hemos llegado al fin de una etapa y es en ese momento donde cae una escalera desde el piso superior. Es la posibilidad de enfrentar un cambio, un cambio de nivel.

Y es ahí donde se plantea la gran paradoja del cambio. ¿Nos movemos? ¿Apostamos por un piso más arriba? Estamos cómodos donde estamos… Nos respetan, ¡nos admiran!. Somos los reyes del piso. ¿Y qué habrá arriba? ¿Valdrá la pena subir y enfrentar nuevos desafíos, o nos quedamos en nuestro marco de comodidad?

A través de los años, me ha tocado conocer visionarios y rutinarios. He visto gente que ha subido esa escala sin dudarlo, otros que lo han hecho con temor y muchísimos que han preferido la comodidad que las libertades que han obtenido con el tiempo. Mal que mal, el afrontar un cambio no es fácil. La ceguera y el temor a los cambios puede transformarse en un eterno castigo que mantiene a las personas atadas al piso de su edificio, viendo como algunos dan el salto, despidiéndose de ellos cada vez.

Hace algunos meses tuve la sensación de que había llegado al último departamento de mi piso. Y hace algunas semanas, la escala del piso superior bajó. Pensé en mis múltiples libertades y como las perdería. Pensé en utilizar corbata y entrar temprano todos los días. Pero también pesé rápidamente en el tremendo desafío y las posibilidades de crecer que afrontaría. Y decidí subir.

El día de mañana, a poco más de 7 años de haber obtenido mi título profesional, comienzo una nueva etapa. Lo que yo he llamado la fase de la especialización. Es un gran cambio sin duda, y no tengo otra cosa que muchas ganas de empezar a vivir dicho cambio.

Espero volver pronto a escribir en el blog, pero para comenzar a hablar de este nuevo gran mundo al cual comenzaré a enfrentarme: El mundo de la gestión de la seguridad.

 

Según la Wikipedia, Liderazgo está definido como "el proceso de influir en otros y apoyarlos para que trabajen con entusiasmo en el logro de objetivos comunes. Se entiende como la capacidad de tomar la iniciativa, gestionar, convocar, promover, incentivar, motivar y evaluar a un grupo o equipo".
 
Y bien, hace bastante rato que vengo reflexionando sobre lo que el liderazgo y su importancia en la vida laboral. Y es que ser líder es difícil, porque a mi juicio el liderazgo implica por sobre todas las cosas empatía con el equipo al cual el líder lidera (valga la redundancia).
 
Los líderes naturales suelen ser personas profundamente carismáticas, estudiosas de la gente y del ambiente, con un amplio sentido de la estrategia y con la capacidad de convencimiento necesaria para hacer que su equipo crea fehacientemente en su visión, independiente de que esta sea buena o mala. Porque a final de cuentas, han existido líderes tan potentes que han hecho creer a naciones enteras en cosas que hoy, 50 o 60 años después, encontramos simplemente aberrantes.
 
Si tuviese que hacer clasificaciones, creo que simplificaría todo a dos tipos de líderes. Por un lado existen los líderes motivadores, los que resaltan las virtudes de las personas que están en su equipo, buscando constantemente maneras de mejorar sus defectos o anularlos con las virtudes de otra persona. Los líderes motivadores siempre piden todo por favor, agradecen cuando se cumple el objetivo y no dudan en decir un ¡bien hecho! con mucho entusiasmo. El lider motivador logra, a través de un discurso cargado de energía, prender a la gente que lo rodea, entusiasmarse con el cumplimiento de los objetivos planteados y haciéndolos sentir parte importante de la tarea en total.
 
La labor de un líder motivador suele ser desgastante. Debe estar atento a los problemas de su equipo y tratar de resolverlos con prestancia, debe planificar que hacer para resolver las dificultades adicionales que se sucedan en el tiempo, y debe tener la sabiduría necesaria para salomónicamente poner fin a los problemas internos sin entrometerse demasiado.
 
Por otro lado, están los líderes desmotivadores. Utilizando el amedrentamiento y la amenaza como aliados, hablan golpeado, imponen reglas y castigos, hacen ver el objetivo final como algo que se debe cumplir "porque sí" y buscan la sumisión como método para mantener a su equipo de trabajo en acción. Rara vez destacan el buen trabajo de la gente y se limitan a decir "es tu trabajo".
 
¿Qué tipo de  líderes conocen ustedes?
Sin duda, las dantescas escenas que nos llegan a diario desde Concepción y sus alrededores nos muestran el otro lado del terremoto que hemos vivido en Chile el sábado recién pasado: El lado tecnológico del terremoto, del cual les hablo a continuación.
 
La continuidad de negocio tiene por objetivo tomar todas las precauciones necesarias para hacer funcionar a una compañía – del rubro que sea – y mantener sus servicios operativos, pase lo que pase. Y para poder mantener operativo un negocio, "pase lo que pase", es necesario ponerse en el peor de los escenarios. Y hoy por hoy, difícilmente podremos imaginar un escenario peor que el que hoy está viviendo nuestro país: un violento terremoto, seguido de un tsunami que es capaz de dejar cables, edificios, centros de datos y de comunicaciones en el suelo, en cosa de segundos.
 
Tecnológicamente hablando, este es quizá el desafío más grande que ha tenido nuestro país en su historia. Nos hemos dado cuenta lo frágil que es nuestra humanidad sin agua y sin luz. Si nos ponemos a enumerar las consecuencias tecnológicamente visibles, los miles de cajeros automáticos reseteados, la dificultad para fabricar pan y para distribuir agua en zonas elevadas (muchas veces esta distribución se realiza con bombas eléctricas) son los primeros que se vienen a la mente colectiva. Sin embargo, podemos mirar como este evento de gran magnitud gatillo la ejecución de los planes de recuperación de desastre en las principales compañías de servicios básicos en nuestro país, empezando rápidamente el proceso de normalización de los mismos en todo el territorio afectado.
 
Un plan de recuperación de desastre (DRP) es parte medular del plan de continuidad de negocio. Corresponde a un documento detallado de procedimientos, que prepara a la compañía para responder rápida y eficazmente ante cualquier incidente de seguridad que pueda afectar severamente la continuidad del negocio. A este incidente es al cual llamamos "desastre". Un plan de recuperación de desastre debe ser capaz de proveer instrucciones claras y precisas, coordinando las distintas fuerzas existentes en la compañía en la más amplia variedad de desastres: Terremotos, Tsunamis, Atentados, Incendios, Inundaciones, Cortes de energía e incluso fallas de hardware de cualquiera de los servidores críticos de la compañía deberán formar parte de este vital documento.
 
En líneas generales, la construcción de un plan de recuperación de desastres se inicia con un árduo proceso de levantamiento de los activos de la compañía. Los activos de información corresponden a la información misma, el software y hardware que lo soportan y los procesos con los cuales opera. Una vez realizado este levantamiento, es posible determinar a través de complejos estudios de tipo económico cuales activos son más valiosos para la organización y, por ende, cuales deben ser cubiertos con una mayor cantidad de recursos por parte de la misma. Este proceso, conocido como BIA (Bussiness Impact Analysis o análisis de impacto de negocio) permite optimizar el uso de recursos, y debe considerar los costos directos e indirectos que los diferentes incidentes de seguridad causan a los activos, además de la probabilidad de ocurrencia de los mismos. Tomando un ejemplo muy actual en nuestro país, un terremoto es un incidente altamente destructivo, con una probabilidad de ocurrencia media-baja, aunque bastante más probable que un tornado (algo – hasta ahora – casi imposible en nuestro país, gracias a la Cordillera de Los Andes).
 
Ahora, ¿cómo medir el impacto de los incidentes? Esta es una labor a veces titánica. Si ponemos por ejemplo, la página web de un banco como un activo de información, para poder calcular el impacto de un incidente en dicho activo debe considerar, entre otros costos:
 
a) Las horas hombre que cuesta volver el sitio a su funcionamiento normal
b) La inversión en software/hardware que esto pueda implicar
c) La cantidad de transacciones que no se realizaron (medible estadísticamente)
d) La cantidad de clientes potenciales que no se afiliaron al banco porque el sitio estaba abajo (también medible estadísticamente)
e) Las multas de los entes fiscalizadores por la falla
f) Los clientes que decidieron dejar de ser clientes del banco por la falla
g) Las posibles demandas recibidas por clientes
h) El daño a la imagen del banco
 
Como se puede ver, muchos de estos valores son bastante difíciles de inferir. Sin embargo este análisis es clave para priorizar las medidas a tomar sobre los activos de la organización.
 
Una vez categorizados e inventariados los activos, es necesario escribir los planes de continudad de negocio. Para ello, generalmente se define una etapa inicial de reconocimiento o evaluación de los daños debido a los incidentes existentes en cada uno de los escenarios definidos, para luego definir procedimientos estándar para la recuperación de cada uno de los componentes del activo en sí. Esto, entre otras cosas, debe considerar la recuperación de los datos, de los sistemas base que soportan el activo y de los componentes de comunicación, entre otros. Así, dependiendo del escenario definido se considerará la falla de uno o varios componentes anteriormente nombrados, lo que termina facilitando la redacción del plan en sí. Bajo este prisma, en la redacción de un DRP no habrá mucha diferencia entre un terremoto y un incendio del centro de datos, ya que en ambos casos los fallos provocados a los sistemas probablemente sean muy semejantes.
 
Dentro de la redacción de los DRP, también es muy importante determinar la manera en que los distintos activos se relacionan entre sí. Si esto no se considera, la ejecución del DRP puede añadir problemas nuevos que no estaban considerados y que de hecho podrían superar al problema original.
 
Finalmente, es clave poder probar los planes y actualizarlos de manera regular. Nuestro país en estos días ha vivido una prueba de fuego, y la mayoría de las compañías clave han logrado responder de manera bastante adecuada. A pocas horas del terremoto, muchos ya poseían los servicios básicos e incluso eran capaces de colocar en los distintos medios masivos de internet (Facebook, Twitter) sus primeras impresiones del terremoto. Es más, hace pocos minutos me comuniqué por MSN con un amigo que vive en Concepción, el epicentro de esta megacatástrofe, a poco menos de 96 horas de la misma, pese a que el terremoto arrasó con el sistema interconectado central de energía eléctrica y probablemente con gran parte del sistema telefónico. Aunque suene algo frívolo, la correcta definición de los DRP de estas compañías lograron dar una respuesta relativamente rápida; de no haber estado debidamente preparados para enfrentar este gran reto, probablemente hubiesen pasado semanas antes de que estos "milagros tecnológicos" salieran a la luz.
 
Este artículo está dedicado al pueblo chileno, y en particular a los amigos y conocidos de la zona sur de nuestro país. Fuerza Chile.

Al finalizar la primera parte de este artículo, les comentaba que existen en el mundo varias iniciativas orientadas a normar la seguridad de la información en las organizaciones. Algunas han llegado a transformarse en normas y son certificables, mientras que otras son sólo códigos de buenas prácticas o tocan de forma indirecta buenas prácticas asociables a la seguridad de la información.

Y es que en realidad es difícil crear una “norma de seguridad” que sea válida para todo el mundo. Y esto se debe sencillamente a dos cosas. La primera de ellas es lo que yo llamo “el paradigma de la seguridad”, o en otras palabras, la disyuntiva que existe entre seguridad y funcionalidad. Estos dos conceptos suelen ser como dos personas tirando de una cuerda; es decir, al ganar terreno uno, pierde terreno el otro. A no ser que incurra en costos adicionales – algo que generalmente no es visto con buenos ojos, sobre todo en el mercado latinoamericano – el aumento de la seguridad en una organización implica una disminución en las funcionalidades existentes, lo que en casos extremos puede afectar duramente la productividad. Por el contrario, el añadir nuevas funcionalidades o aumentar las cartas en el naipe del usuario, no hace otra cosa que abrir nuevos riesgos potenciales, lo cual está estrictamente relacionado con el concepto de “superficie de ataque”.

La segunda de las razones que hace difícil la creación y aplicación de una norma universal de seguridad tiene relación con la idiosincrasia de cada compañía, organización o institución. Y en ese sentido, esta es la explicación más frecuente ante el fracaso de una norma estadounidense en países de América del Sur. Cada empresa tiene su propia huella digital, su foco de trabajo, las herramientas que tiene que tener disponibles y las que no, y en muchos casos, la aplicación inflexible de una normativa termina trayendo más problemas que beneficios. En esto también influye mucho la “cultura organizacional” reinante y el “nivel de conciencia” de seguridad que tengan los distintos usuarios. Y que mejor ejemplo que el uso de messenger: mientras algunas compañías lo ven como un foco de ocio y un riesgo para mantener la productividad a niveles aceptables, otros lo ven como una herramienta indispensable para una comunicación ágil y eficiente entre personas que se ubican en lugares remotos. Lo mismo pasa con la definición del SPAM: Para la mayoría de la gente los correos de “ciertos medicamentos” son claramente correo no deseado, mientras que para algunos esos correos si pueden prestarles ayuda. Es por esto que por lo general las normativas o códigos de buenas prácticas de seguridad terminan siendo bastante ambiguos en su definición.

Revisemos entonces algunas de las normas más conocidas en el mundo de la seguridad:

BSI, los pioneros

El instituto británico de estándares (BSI) se puede jactar de ser una de las primeras instituciones que se dedicó en serio a tratar el tema de la seguridad de la información. De hecho, en 1995, la BSI publicó la primera versión de la famosa normativa BS 7799:1, conocida como “Information Security Management Standard”, el cual consiste en un código de buenas prácticas para la administración de la seguridad de la información. La principal fortaleza teórica de esta normativa es la división inteligente de la seguridad de la información en distintos “dominios”. Originalmente, estos dominios son 10 y se los presento a continuación:

  1. Política de seguridad corporativa. Implica la estructura, contenidos y sentido de la política de seguridad corporativa, la cual debe adaptarse a la realidad de la compañía y las necesidades de seguridad de la misma.
  2. Infraestructura de seguridad de la información. Implica la manera en que las compañías deben organizarse internamente para poder controlar de forma efectiva la seguridad de la información de forma interna. Esto implica además la existencia de procedimientos escritos para aquellas acciones en donde pueda existir un impacto en la seguridad de la información, de tal manera que se puedan definir los roles y las responsabilidades de cada uno de los participantes en dichos procesos.
  3. Control y clasificación de activos. En este punto, se abarca la definición de niveles de confidencialidad para los activos de información y la posterior clasificación de los mismos en dichos niveles. Este punto suele ser crítico y guarda estricta relación con el concepto de continuidad de negocio, que también es abarcado por este estándar.
  4. Seguridad del personal. En este punto, se trata el tema de las personas y su relación con la seguridad. Entre otras cosas, se abarca el concepto de “awareness” o “conciencia” de seguridad, y la implicancia de la seguridad en los procesos de selección y de desvinculación del personal.
  5. Seguridad física. Este dominio abarca los conceptos asociados al control de acceso físico a la información, abarcando también la seguridad en el diseño de las instalaciones orientadas al almacenamiento de información.
  6. Administración de comunicaciones y operaciones. Este dominio implica la creación de procedimientos para la administración y operación de todas las unidades de procesamiento de información, incluyendo operación detallada y respuesta a incidentes. Además, abarca los conceptos de seguridad de redes, el acceso remoto, el intercambio de información con terceros y el comercio electrónico.
  7. Control de acceso. Orientado al control de acceso lógico, este dominio controla los procesos de negocios que impliquen acceso a la información. Esto incluye la definición de políticas de control de acceso, administración del acceso de usuario, administración de privilegios, políticas de contraseñas, revisión de derechos de usuario, definición de métodos de autenticación de usuario, segmentación de redes, controles de acceso de red, NAC (O NAP, si lo llevamos a Windows 2008), monitoreo de sistemas y otros.
  8. Desarrollo y mantenimiento de sistemas. Este control abarca los procedimientos necesarios para controlar los procesos de desarrollo, QA y paso a producción de los distintos sistemas propios de una compañía. Aspectos críticos como el control de versiones, la documentación, y la definición de requerimientos de seguridad en cada una de estas etapas, además del concepto de desarrollo seguro son controlados por este dominio.
  9. Administración de la continuidad de negocio. La definición de estrategias, estándares, procedimientos y la posterior implementación de tecnologías orientadas a obtener respuestas ágiles a incidentes y así asegurar la continuidad de los sistemas que soportan la información en el tiempo es parte de los temas abarcados por este dominio. El plan de continuidad de negocio es el fruto de una correcta clasificación de activos de seguridad, de la determinación concreta y objetiva de las criticidades de los sistemas que soportan la información, de la consideración de todos los factores de riesgo existentes, de la redacción de medidas claras y concretas y de su posterior prueba y constante actualización. El plan de continuidad de negocio está íntimamente relacionado con el plan de recuperación de desastres, que se pone en el peor de los casos posibles al cual podría enfrentarse la organización.
  10. Compliance. Finalmente, el último dominio de la normativa abarca la adaptación de todos los otros puntos anteriormente tomados a las normativas legales vigentes en el país de aplicación de la norma, además de definir cuál es la estrategia para cumplir con los requisitos planteados en los 9 dominios anteriores.

La BS7799:1 abarca estos 10 dominios a través de 127 controles, que no son otra cosa que requisitos que deben ser cubiertos por la compañía que busca adaptarse a esta norma. Y es aquí donde algunos controles son algo ambiguos.

En 1999, BSI asestó el segundo golpe. Y lo hizo publicando la segunda parte de la norma, titulada “Information Security Management Systems: Specification with guidence to use”. Esta parte de la norma se enfoca en el concepto de la implementación de un ISMS (Information Security Management System). Como lo dice su nombre, un ISMS es un conjunto de políticas y procedimientos orientados a administrar de manera eficiente y efectiva la seguridad de la información a través del tiempo. Esto implica el uso de un concepto clave, que se repite en la mayoría de los frameworks orientados a la seguridad y a la madurez de los sistemas. Estamos hablando del PDCA, el cual fue incorporado a la BS7799:2 en el año 2002.

 1111111111111

En otras palabras, el PDCA indica que en una primera etapa se debe hacer un análisis de riesgo que permita identificar los puntos débiles y las prioridades que existen en la compañía, para posteriormente diseñar el conjunto de políticas, procedimientos y soluciones orientadas a mitigar los riesgos encontrados (Plan). Luego, en la siguiente fase se debe implementar el conjunto de soluciones anteriormente diseñadas y operarlas (Do). Esto debe ser acompañado de una constante revisión y monitoreo de las estrategias, políticas y soluciones entregadas, a fin de detectar fallas o deficiencias en la implementación del plan (Check), para finalmente, una vez establecidos los puntos de mejora, proponer nuevas ideas (Act) para volver a ser diseñadas (volvemos a Plan). La tercera parte de la BS779 fue publicada en 2005, y abarca el concepto de análisis de riesgo.

Sin duda y como sucede con todo pionero, BS7799 fue la base de otro de los gigantes en cuanto a normativas: La organización internacional de estándares (ISO) quien sacó dos familias de políticas inspiradas en la BS7799: La ISO 17799 y la ISO 27001. Estas dos normas serán parte del análisis de la tercera parte de es artículo. Nos vemos pronto y pasen felices fiestas!

Sin duda alguna, la seguridad de la información pasó de ser una inquietud a ser una función más en el negocio de cualquier empresa o institución que maneje información valiosa de sus clientes. Ya sea el historial médico, los antecedentes financieros o cualquier otro tipo de dato de negocio, un conflicto o incidente de seguridad que ponga en riesgo datos como éstos puede desembocar en cuantiosas pérdidas para quienes soportan o administran dicha información. En la siguiente seguidilla de artículos pondremos en la palestra varios puntos críticos sobre el que debería ser el gran desafío de toda organización que quiera incorporar la seguridad a su ADN corporativo: El compliance de seguridad.

Y para partir, cabe preguntarse: ¿Qué significa compliance? Como en muchas otras ocasiones, esta es una palabra de la lengua inglesa que guarda relación con el término “cumplimiento”. Y dentro de este contexto, el compliance apunta a una serie de requisitos mínimos que deben ser cubiertos para poder adoptar un nivel estándar de seguridad, que garantice – así como una ISO 9001 lo hace con la calidad – la seguridad no sólo de nuestros sistemas, sino que de nuestros procesos y de nuestra forma de acceder, editar, almacenar, distribuir y – en general – administrar los activos de información.

Y de aquí nace la segunda pregunta lógica. ¿Qué podemos definir por información? Un activo de información se va a definir como toda aquella cosa – tangible e intangible – que guarde relación directa o indirecta con cualquier dato cuya integridad, confidencialidad y disponibilidad deba ser garantizada por nosotros. Bajo esta definición, un activo de información suele pertenecer a las siguientes categorías:

  1. La información por si misma, como por ejemplo un correo electrónico, una hoja de papel con el detalle de los sueldos del área de servicios de una compañía, una presentación con la visión estratégica de un negocio o el resultado de una conversación informal donde un cliente entrega detalles importantes para adjudicarse un proyecto;
  2. Los medios físicos y lógicos que la soportan, como por ejemplo una base de datos, un servidor de correo electrónico, o un archivador con los contratos del personal de una compañía, o un portal de intranet (como SharePoint) y,
  3. Las personas que manejan dicha información, como el administrador de un sistema o un gerente de investigación y desarrollo.

Pues bien, uno de los primeros y más grandes desafíos que presenta el compliance de seguridad en cualquier compañía tiene que ver con la idiosincrasia de las mismas. Y de hecho, este fue el primer gran desafío al cual se enfrentaron las normativas de seguridad de la información a nivel mundial. Hace varios años atrás, la BS (British Standard) sacó uno de los más conocidos códigos de buenas prácticas de seguridad: BS7799 (Que de hecho, inspira la normativa chilena de seguridad de la información, la NCh 2777). Esta normativa puso en la mesa varios aspectos claves relacionados con la seguridad de la información. Sin embargo, uno de los problemas que tiene esta normativa – que de hecho, hereda la norma chilena – es la dificultad de poder adaptarla a la realidad única e irrepetible de nuestras empresas u organizaciones.

¿Por qué sucede esto? La respuesta a esta pregunta  no es tan simple, y establece uno de los principales paradigmas teóricos que tiene la seguridad de la información, y que corresponde a la dicotomía que existe entre la seguridad y la funcionalidad. Una de mis frases favoritas con respecto a la seguridad de la información es “no hay medida de seguridad popular”, y es que por lo general las visiones clásicas de la seguridad apuntan a las restricciones, y las restricciones lógicamente se transforman invariablemente en impactos directos o indirectos a la productividad de una compañía. O al menos, eso parece a primera vista, y es de hecho la percepción que tienen muchos usuarios en todos lados. ¿Es tan así? Este es un tema que da para un amplio debate; en lo personal pienso que en algunos casos, las restricciones de seguridad pueden ser un aporte a la productividad de una organización, puesto que disminuyen la posibilidad de fallas, minimizan el downtime de nuestras compañías y en muchos casos, hacen más rápido y expedita la operación de las labores de soporte y recuperación de nuestros sistemas. Sin embargo, otros resaltan – no sin justa razón – que en muchos casos las medidas de seguridad aumentan los tiempos de procesamiento de la información, afectando directamente el rendimiento o los resultados del negocio. Sin duda, es un tema que da para mucha discusión y que pretendo abarcar en artículos a futuro.

Volviendo al tema del compliance, existen varias instituciones internacionales que han hecho frente a este desafío de generar una normativa de seguridad que sea aplicable y que por sobre todo, sea tangible en su aplicación. Así, nos encontraremos con diferentes normativas y/o metodologías de seguridad las cuales podremos adoptar para nuestra organización. Si queremos iniciar un camino serio hacia la meta del compliance de seguridad, lo primero que tendremos que tener presente es la elección de un marco o metodología de buenas prácticas de seguridad a la cual adherirnos.

En el próximo capítulo de esta serie de artículos, revisaremos una a una las principales normativas y metodologías de seguridad de la información, desde sus fundamentos, y veremos sus semejanzas y sus diferencias. Así que si quieren conocer un poquito más de la ISO de seguridad, COBIT, el aporte de SOX en lo que es seguridad TI, la BS, el estándar del NIST y la norma chilena de seguridad de la información, los invito a seguir atento a los Tips de seguridad de este humilde servidor. :)

Y llega la última parte (y final) sobre las habilidades que debe desarrollar un buen consultor. Veamos los últimos 4 ingredientes de esta receta.

7. Transfórmate en un chef de los sistemas

La habilidad de diseñar es otra de las cualidades que un buen consultor debe desarrollar sí-o-sí. Diseñar es como un arte culinario: Uno puede tener todos los ingredientes y la receta escrita en un papel, pero esta no es señal de que lograremos hacer un plato delicioso. Y no solo eso: un plato que a nosotros nos parezca delicioso no tiene por qué entregar la misma sensación a nuestro cliente. En base al mismo criterio planteado, se podría decir que la habilidad de diseñar consiste en la capacidad de adaptar una solución a las necesidades reales del cliente. Y es ahí donde entra en juego la consultoría. Muchos clientes implementan soluciones sólo porque el brochure sonó atractivo, pero a la hora del necesario encuentro entre la tecnología implementada y su negocio, a veces terminan dándose cuenta que lo que sonaba bonito en el papel, no era tan bello en la práctica. Un buen diseñador estudia antes la realidad y la naturaleza del negocio, recopila las necesidades concretas del cliente, hace un match entre lo solicitado y las posibles soluciones existentes y termina definiendo cómo debe implementar su solución para calzar con las necesidades reales del negocio.

Y esto no siempre se logra. Ahí es cuando es importante “saber decir que no”. Si implementamos algo que sabemos que no va a cumplir todas las expectativas del cliente, haremos nuestro el dicho “pan para hoy, hambre para mañana”. En ese sentido hay que declararle claramente al cliente las limitantes y los alcances que tiene la solución que se está diseñando, llegando a un punto de conciliación que de todas maneras debe ser previo al inicio de cualquier proyecto.

Otra cosa importante del diseño de las soluciones, sobre todo si se trata de un proyecto de seguridad de la información, es tener en cuenta que “lo más bueno no es siempre lo mejor”. Una consultoría siempre debe tener como foco principal al negocio, y las soluciones ofrecidas por un buen consultor siempre deben buscar no atentar contra este principio básico. Por ejemplo en seguridad, una solución de políticas de grupo “perfecta” – considerando todas las buenas prácticas que dictan los libros – podría derivar en la obstrucción, disminución del rendimiento, e incluso la paralización parcial del funcionamiento del núcleo de un negocio. Y eso implica que nuestro esmero por buscar lo más bueno podría atentar contra la satisfacción de quien nos contrata e incluso podría terminar afectando nuestra propia reputación. En resumen, para transformarse en un chef de los sistemas no hay que olvidar nunca al negocio, hay que buscar ofrecer la solución más óptima posible y hay que declarar responsablemente los alcances y limitantes de la solución que vayamos a ofrecer. Después de eso, un buen chef de sistemas nunca termina de perfeccionarse, puesto que a medida que aparecen nuevas tecnologías y ampliamos nuestro espectro de soluciones, debemos continuamente esforzarnos en hacer un “tuning” o “perilleo” de nuestras soluciones, tratando de buscar la perfección con cada vez mayor certeza.

8. Saber expresarse

Una de las principales diferencias entre un excelente técnico y un buen consultor radica en la capacidad de expresión. Sin menospreciar a los primeros, el consultor – además de poseer una buena base técnica – es capaz de explicar a un cliente de manera sencilla y convincente los fundamentos y las ventajas de las soluciones que está implementando.

La habilidad de comunicación es absolutamente necesaria en un buen consultor. Es siempre necesario mostrar y transmitir seguridad y tranquilidad en nuestros mensajes hacia el cliente, dejar de lado las muletillas típicas como el “ehhhhh…” o el “esteeeeee…” y saber dirigir nuestro discurso dependiendo de quién sea nuestra contraparte. Por lo general, cuando uno debe enfrentarse a un gerente o líder de área debe tener presente que el exceso de tecnicismos no es algo que precisamente vaya a volver loco a nuestro interlocutor, sino que muy por el contrario, puede terminar mareándolos y eso suele jugar en nuestra contra. También es necesario aprender el valor del lenguaje corporal: el uso de gestos para reforzar nuestras ideas (sin caer en la exageración) y el correcto uso del tono de voz es parte del arsenal que todo buen consultor debería cargar a diario.

9. La visión comercial

Esta habilidad está muy relacionada con los dos puntos anteriores. Desarrollar la visión comercial requiere capacidades de diseño y además el buen uso de nuestras habilidades de expresión. Además, implica un buen conocimiento técnico de las características de nuestras soluciones y de la problemática de negocio planteada por nuestro cliente.

Es muy difícil saber vender. Muchas veces he estado convencidísimo que le he pegado el palo al gato con una propuesta de negocio, pero al final algo termina haciendo fracasar al mismo. Algo me ha faltado. ¿Costos altos? ¿No interpreté bien lo que requería el cliente? ¿La solución tardaba mucho tiempo en implementarse?. Debemos recordar que el cliente siempre va a querer soluciones efectivas y eficientes; en otras palabras quiere algo que cumpla el criterio de las 3 B: Bueno, Bonito y Barato.

Algunos consejos prácticos para ir desarrollando esta visión comercial es el uso inteligente de herramientas como PowerPoint. PowerPoint tiene mucho potencial como herramienta para presentar ideas a la gente. El uso de los SmartAds (mi herramienta favorita en esta versión 2007) para expresar los puntos claves de nuestra presentación, el uso atractivo de algunas animaciones e imágenes para representar ideas sencillas pero potentes, y la regla del 7 mágico (en una presentación, nunca usar más de 7 puntos que a su vez no deben tener más de 7 palabras cada uno) pueden resultar una ayuda muy importante a la hora de “vender ideas”. Volviendo un poco al punto 8 de este recetario, cuando uno debe hacer una propuesta de negocio siempre debe pensar en la persona que la va a leer, y en base a eso plantear nuestra estrategia de ataque. Y finalmente, el uso de demostraciones preparadas – que se note que son nuestras y no prestadas – suele tener alto impacto. ¿Cómo hacerlo? Pues volviendo al punto 1 de este recetario y usando nuestro laboratorio personal para hacerlo.

Además, siempre es clave definir claramente los objetivos generales y específicos del cliente en nuestras propuestas, mostrar ventajas de nuestra solución en relación a dichos requerimientos y contar siempre con un diagrama conceptual y funcional de nuestra solución – nuevamente, ojalá creado por nosotros mismos y no sacado de un sitio Web.

10. La experiencia, el cimiento de todo este recetario

Si bien no es condición suficiente ni tampoco necesaria para formar a un consultor, la experiencia termina diferenciando a los consultores de los mejores consultores. Algún día quiero llegar a ser de los mejores, como otros colegas que respeto y admiro, y para eso debo seguir día a día adquiriendo experiencia. La experiencia afina nuestros sentidos y pule nuestras habilidades. Cada documentación es mejor y más completa que la anterior, la experiencia amplía nuestra base de conocimientos y enfrentar un problema que ya nos ha sucedido en circunstancias similares no es lo mismo. Con la experiencia uno aprende los trucos que van haciendo nuestro trabajo del día a día más fácil, y por sobre toda las cosas nos entrega la confianza para enfrentar un problema. Reutilizando un ejemplo de este mismo escenario, recuerdo que las primeras veces que tuve que solucionar problemáticas con ISA Server perdí mucho tiempo en dar con la raíz del problema. Ahora, a poco más de un año de mis primeros acercamientos en vivo con esta solución, soy capaz de reconocer con mayor facilidad algunos problemas típicos de delegación de autenticación o de definición de rutas de red. Los nuevos problemas a los que me enfrento con ISA Server (cada día nace algo nuevo, reza el dicho), aumentan mi base de conocimientos interna sobre este tipo de solución, y me hacen enfrentar con mucha más tranquilidad que antes a este producto en situaciones reales de clientes. Sin embargo, siempre queda mucho por aprender, y ya está llegando la nueva versión – ForeFront TMG – a la cual de seguro habrá que empezar a estudiar, conocer e implementar en un futuro cercano. Así es el día a día del consultor. Y es lo que hace entretenido a este trabajo.

 

Y bien, así llegamos al final de este artículo. Sin considerarme el mejor de los consultores – ni mucho menos – quise compartir con ustedes mi visión de las habilidades que debemos ir cultivando día a día para crecer en este campo que es la consultoría. Si ustedes tienen algún otro ingrediente que agregar a la receta, o compartir su visión de la misma, bienvenidos. Este es el primero de los artículos que escribo después de muchos meses en este blog, el cual pretendo seguir reactivando. Pronto, se viene un artículo sobre compliance y seguridad: El próximo desafío de Microsoft en Chile.

 

Saludos a todos!

Recuerdo hace ya algunos años cuando tuvimos una idea alocada con Rodrigo Anabalón y Mauricio Gómez. Crear un ciclo de charlas de seguridad que partiera de los conceptos clave y llegara a tocar temas más avanzados nos pareció una idea entretenida e interesante. Así, con un total de 10 charlas en las cuales creamos incluso una historia – que tenía al agente secreto X como su principal protagonista, dimos vida al primer ciclo de charlas de comunidades Technet en Chile. Una idea que podemos catalogar de exitosa, puesto que tuvimos un promedio de asistencia más que respetable (bordeando las 40 personas) y lo mejor de todo, de esas 40 fácilmente unas 30-35 llegaron al menos a 7 de las 10 charlas. De hecho, en las últimas charlas ya las caras eran todas conocidas. Corría el año 2006 en ese entonces.

Pues bien, han pasado 3 años desde aquellas aventuras y hoy, 2009, con bastante más experiencia “real” en el cuerpo, es hora de volver a las canchas. Y es por eso que en conjunto con Ricardo Rojas, director de ITPro Chile (la comunidad IT de Chile y a la cual he vuelto después de casi 4 años) estamos preparando un nuevo ciclo de charlas, orientadas a estudiantes universitarios. Ya tengo un nombre tentativo para el ciclo: “Seguridad de la información, en búsqueda de la piedra filosofal” y tengo algunas de las charlas iniciales ya diseñadas. La idea es hacerles pública la idea para así recibir alguna idea entretenida que nos ayude a hacer un ciclo no solo atractivo, sino que muy útil para los estudiantes, y por qué no, replicables para los profesionales TI e incluso para algunos Developer de nuestro país.

Entonces, aquí vamos (Espero sus aportes!)

1. Seguridad de la información, en búsqueda de la piedra filosofal (Principios básicos de seguridad)

“¿Qué significa seguridad de la información? ¿Cuáles son sus principios básicos? ¿Existe una panacea en la seguridad? La primera charla del ciclo “Seguridad de la información, en búsqueda de la piedra filosofal” pretende entregar éstas y otras respuestas, y fijar los cimientos de seguridad que deben ser tomados en cuenta por toda persona que se interese en el tema.”

Contenidos:

  • Principios básicos de la seguridad (La triada de la seguridad)
  • Los aspectos clave de la seguridad: Personas, procesos y tecnología
  • Riesgos, incidentes de seguridad e impacto en el negocio
  • Conceptos clave en la administración del riesgo y la madurez de seguridad

2. Detrás de bambalinas: Pilares de la seguridad de la información

“Para iniciar la búsqueda de un nuevo estado de seguridad, es necesario comprender y aplicar dos conceptos claves en cuanto a las estrategias de administración del riesgo. La defensa en profundidad (Defense in Depth) y el Hardening de Sistemas son las metodologías que serán analizadas en esta presentación. Además, conocerás el aporte de Microsoft y las metodologías que pueden llevarnos de la teoría a la práctica.”

Contenidos:

  • Defensa en profundidad, de los militares al mundo de la informática
  • Hardening de sistemas: ¿Cómo poder aplicarlo?
    • Hardening físico
    • Hardening de red interna y externa
    • Hardening de sistema operativo (con ejemplos prácticos)
    • Hardening de aplicaciones
    • Protegiendo los datos
  • Metodologías Microsoft aplicables a la implementación de modelos de seguridad: Introducción a MOF y Core-IO

3. Protegiendo al punto débil: Awareness y seguridad en las personas

“Así como el vehículo más seguro del mundo puede ser chocado si lo maneja un niño de cinco años, un administrador que adopte buenas prácticas puede hacer los sistemas de información tan robustos como él quiera. En esta sesión abordaremos el tema de las personas y el impacto que una mala práctica de seguridad puede tener en el negocio. Aprende las tablas de la ley de la seguridad en el día a día.”

Contenidos:

  • Kevin Mitnick y los 3 principios básicos de la ingeniería social
  • ¿Cuál es el impacto de un incidente de seguridad?
  • Los errores y malas prácticas típicas de los usuarios
  • El Awareness: entrenamiento para ser más seguro
  • El problema sin fin de las contraseñas
  • Buenas prácticas y consejos para el día a día

4. Tecnologías de seguridad Microsoft: Protegiendo al punto final

“La evolución en las medidas de seguridad que Microsoft ha ido incorporando de manera nativa en sus sistemas operativos, permiten contar con sistemas cada vez más seguros. Orientada a Windows 7, esta presentación resume varias de las herramientas de combate que tenemos a la mano con nuestro sistema operativo, muchas de las cuales frecuentemente desconocemos.”

Contenidos:

  • (Prácticamente) todo está escrito: Windows 7 Local Policies
  • Discos a prueba de balas: BitLocker
  • User Account Control: Una ayuda necesaria
  • A prueba de niños: Control parental
  • Internet Explorer 8, a prueba
  • Un doctor en su equipo: El equipo de combate antimalware para el hogar

5. Tecnologías de seguridad Microsoft: Seguridad de estaciones a nivel corporativo

“La protección del punto final, clave dentro del hardening de sistemas operativos, puede ser controlada de forma corporativa. Conozca en esta sesión como Microsoft utiliza la integración entre distintas tecnologías para proteger integralmente los sistemas operativos de la organización y los servicios que la misma provee al usuario final.”

Contenidos:

  • WSUS 3.0 SP2: Más actualizado, más seguro
  • NAP: No se admiten infecciones
  • ForeFront Client Security 2.0: Administración y análisis centralizado para el combate anti-malware
  • ForeFront Server Security: Protegiendo los servicios críticos
  • Group Policies: Estrategias para un control centralizado de estaciones de trabajo.

6. Tecnologías de seguridad Microsoft: Protegiendo el último bastión

“Desde tiempos inmemoriales, la gente asoció la seguridad con los hackers, firewalls y la red externa. Si bien no es el único punto de ataque en un sistema, suele ser uno de los más importantes a considerar dentro del hardening de sistemas. Conozca en esta sesión las nuevas alternativas que Microsoft posee para proteger el último bastión de nuestros sistemas.”

Contenidos:

  • ISA Server 2006: El Firewall de Microsoft
    • ¿Qué debe saber para ser un maestro de ISA Server?
    • Buenas prácticas en el diseño
    • Consejos clave para una administración eficiente
    • El potencial de ISA Server
  • ForeFront TMG: Lo que viene
    • Novedades y mejoras en relación a ISA Server

7. Tecnologías de seguridad Microsoft: La importancia de los datos

“La fuga de información es uno de los desafíos más importantes del encargado de seguridad de una compañía. La protección en el almacenamiento, acceso, edición y distribución de la información puede ser abarcada utilizando la combinación de tecnologías de seguridad que serán abarcadas en esta sesión.”

Contenidos:

  • Rights Management Services: Protegiendo los datos del uso no autorizado
  • DPM: La importancia del respaldo y almacenamiento de información
  • Firmas digitales: Asegurando la validez de nuestra identidad
  • El aporte de Exchange 2010 en la seguridad del documento electrónico

8. Tecnologías de seguridad Microsoft: El desarrollo no es cosa de niños

“Crear un “Hello, World!” usando privilegios de administrador es uno de los errores más frecuentes de los desarrolladores de software. Estas prácticas, unidas a la importancia de un correcto proceso de documentación, versionado y paso a producción de los sistemas forman parte de las buenas prácticas de desarrollo que debe seguir todo developer. Conoce este y otros conceptos clave en esta sesión.”

Contenidos:

  • Metodologías de desarrollo seguro: SDL
  • El concepto de menor privilegio
  • Buenas prácticas para un desarrollo seguro: Haciendo un “Hello, World!” seguro
  • ¿Es más seguro el código abierto?

9. Seguridad en los procesos: Administrando el riesgo eficientemente

“Conozca los conceptos clave en la administración del riesgo de seguridad de la información, y comprenda como los distintos modelos existentes en el mercado internacional se relacionan entre sí. Descubra algunas estrategias simples y efectivas que le permitirán ordenar la seguridad en una organización”

Contenidos:

  • ¿Cómo determinar mi estado de seguridad?
  • La matriz de riesgos y la asignación de prioridades de seguridad en la organización
  • Modelos y metodologías internacionales y su relación con la seguridad: COBIT, SOX(TI), MOF ¿Cómo se relacionan?
  • Algunos consejos prácticos

10. Continuidad de negocio: El dolor de cabeza de toda organización

“Un sistema que cae por un par de horas no solo causa daños directos por falta de productividad. Los clientes que dejan de comprar, los clientes que incluso se cambian a otra compañía, el costo de volver a levantar el sistema e incluso las multas recibidas transforman a un incidente de seguridad en un asunto muy serio en las organizaciones. La continuidad de negocio es un aspecto clave en el funcionamiento de toda empresa, y entender todo lo que hay que tener en cuenta para generar un plan de recuperación de negocio es vital para poder hacer de nuestra compañía un sinónimo de confianza y calidad de servicio. Conoce algunos de los secretos detrás de la continuidad de negocio en esta sesión.”

Contenidos:

  • Continuidad de negocio: ¿Qué es y por donde empezar?
  • El BIA y la clasificación de los activos de información
  • Contingencia y alta disponibilidad: Semejanzas y diferencias
  • ¿Qué es un plan de recuperación de desastres?
  • Definiendo los pilares del DRP: Punto de retorno y tiempo de retorno
  • La importancia de ponerse a prueba
  • Tecnologías Microsoft al servicio de la continuidad de negocios

11. Marco Normativo: La seguridad en Chile

“Esta presentación cierra nuestro ciclo de seguridad: “Seguridad de la información: En búsqueda de la piedra filosofal” y presenta algunas de las normativas vigentes en Chile que tienen relación con la seguridad. ¿Qué es el delito informático? ¿Cómo protegernos de la invasión a la privacidad? ¿Cuál es el alcance de los derechos de autor? son parte de las preguntas que serán abarcadas en esta sesión final.”

Contenidos:

  • Normativa Chilena de Seguridad de la información: NCh 2777
  • La ley de protección de datos personales
  • Derechos de autor: ¿Cuándo y cómo nos afecta?
  • La figura del delito informático en Chile
  • Consejos prácticos

Bueno, este es el esqueleto del ciclo de charlas que tengo en mente. ¿Faltan cosas? ¿Sobran cosas? ¿Qué opinan ustedes? Quedo a la espera de su feedback!

 

Saludos!!!

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.