De vuelta, 5 años después

Hola!

 

Estoy de vuelta en mi blog. 5 años después que han sido 5 años de experiencia en Seguridad, Continuidad y Servicio, y en los cuales logré la certificación CISSP.

Y es la misma la que me trae de vuelta a este blog.

Atentos!

Read Full Post »

Buenas prácticas – Correo electrónico

Sin lugar a dudas, es una de las herramientas tecnológicas más utilizadas por empleados en todo el mundo.  El correo electrónico nos tiene ocupados gran parte del día; nos pasamos una buena parte de nuestra jornada diaria recibiendo y enviando mensajes de correo a compañeros de trabajo, proveedores y clientes en todo el mundo.

Según un estudio recientemente publicado por Radicati Group, el uso del correo electrónico va en aumento explosivo. Este año existen cerca de 4.116 millones de cuentas de correo electrónico, de las cuales 974 millones son cuentas de empresas, y para el 2018 se espera llegar a los 5.000 millones de cuentas. Por otro lado, cerca de 190 billones de correos electrónicos se envían a diario, siendo más de la mitad de ellos de carácter empresarial.

Debido a su masivo uso, el correo electrónico frecuentemente ha sido blanco de ataques informáticos. Estos ataques han ido evolucionando con el pasar del tiempo; hemos pasado de la época del famoso virus «I love U» a variantes bastante más evolucionadas y dirigidas, como lo son el phishing y otras técnicas similares que están asociadas a los conceptos de Ingeniería Social que  Kevin Mitnick viralizó y que tan increíblemente explica en su libro «The Art of Deception».

De  hecho y dentro del mismo contexto, cabe destacar que los ataques informáticos más exitosos suelen ser aquellos que se aprovechan de las prácticas poco adecuadas que tenemos en el manejo de este tipo de herramientas, y de nuestra excesiva en el diario vivir. Por lo mismo, a continuación les entrego un conjunto de buenas prácticas a ser tomadas en cuenta en cuanto al uso del correo electrónico.

1) No crea todo lo que lee…

Usted va llegando a su casa y ve a un desconocido mirando insistentemente al interior de su hogar. ¿Qué piensa usted al respecto? Probablemente, le llamará la atención de inmediato, puesto que se encuentra ante una situación anormal. ¿Por qué no actuamos de igual manera con el uso de nuestras herramientas tecnológicas? El correo electrónico es una fuente de llegada de múltiples mensajes de todo tipo, y de todas partes. Sin embargo, ¿usted abre la puerta a todo desconocido que se acerque a tocarla? Con el correo electrónico deberíamos pensar de manera similar. Por dar un ejemplo sencillo, si trabajamos en una empresa local que no tiene contacto con proveedores ni partners en el extranjero, ¿qué tan razonable es recibir un correo en inglés?  Muchas veces abrimos correos sin preguntarnos su procedencia, incluso llegando a abrir correos que vienen en un idioma distinto al cual utilizamos a diario en nuestras labores. Este fenómeno generalmente se encuentra mitigado por los motores Antispam de nuestras compañías, pero en algunas ocasiones estas herramientas dejan pasar algunos correos de fuentes desconocidas.

Por otro lado, un tipo de ataque muy frecuente a través del correo electrónico es conocido como el «Hoax». ¿A quién no le ha llegado alguna vez un correo advirtiendo sobre una herencia millonaria en Europa, un niño secuestrado en Nigeria o una oferta irresistible de teletrabajo con sueldos y comisiones atractivas?  Definitivamente, no crea en todo lo que recibe.

2) Hipervínculos engañosos

Hoy por hoy el phishing se ha transformado en uno de los ataques más difundidos a nivel mundial. Corresponde a una técnica de ingeniería social – fraude basado en la confianza –  en donde suelen colocarnos en una situación compleja (una giro no autorizado de nuestra cuenta bancaria, el pago de una multa o la infección de nuestro equipo), para luego sugerirnos amablemente hacer clic en el vínculo que nos permitirá solucionar el problema de raíz. Y precisamente en este inocente vínculo está el engaño: Dicho vínculo no tiene nada de inocente y nos llevará a una página que es la réplica de la original, generalmente residente en un sitio extranjero y que al momento de ingresar nuestras credenciales nos arrojará un error y nos derivará al sitio real, no sin antes quedarse con una copia de nuestras credenciales.

En este sentido, lo más recomendable es nunca hacer clic en un hipervínculo que venga en un correo electrónico. En lo personal, cuando me llega un correo con hipervínculos suelo pararme sobre el mismo, dar clic secundario y seleccionar la opción «copiar hipervínculo» para luego pegarlo en un portapapeles y examinarlo detenidamente. Así puedo entender en donde el atacante mantiene residiendo su página falsa. Cuando el hipervínculo me llega de parte de un compañero de trabajo, suelo tomar el teléfono y preguntarle directamente si quiso enviarme un vínculo a alguna página. Una de las maneras más eficientes de salir de dudas cuando uno cree ser víctima de un ataque de ingeniería social es contactarse directamente con las fuentes.

3) Tenga cuidado con lo que envía

Muchas veces centramos nuestra atención solamente en el correo entrante, pero no tenemos el mismo nivel de atención con el correo que enviamos a diario. Debemos recordar que por lo general en nuestro día a día hacemos uso y manejamos información confidencial, y el correo electrónico suele ser una herramienta muy utilizada para enviar dicha información a otras personas.

En ese sentido, es muy recomendable validar a conciencia los destinatarios de un correo electrónico, sobre todo si en dicho correo vamos a adjuntar información de relevancia para nuestro trabajo.  Muchas veces al utilizar la opción «Responder a todos» terminamos enviando datos a quien no necesitaba acceder a ellos, y por otro lado, basta un pequeño error en el nombre o en el apellido (sobre todo en compañías con un alto número de empleados) para que nuestros archivos confidenciales vaya a dar a manos de quien no corresponde.

Como complemento a esta preocupación, una buena práctica es etiquetar nuestros correos salientes en base al nivel de confidencialidad de la información que vaya en ellos. En ese sentido, las soluciones de prevención de fuga de información (DLP o Data Loss Prevention) suelen implementar estas medidas de control de forma automática, protegiendo además nuestros adjunto de tal manera que aunque los hayamos enviado por error a otra persona esta no pueda visualizar la información contenida en el correo si no le corresponde hacerlo.

Estas sencillas prácticas nos ayudarán a utilizar de mejor manera esta popular herramienta tecnológica, evitando de pasada que pasemos un mal rato en el trabajo o que incluso lleguemos a comprometer información personal de relevancia. ¡Nos vemos en otra ocasión para compartirles más tips de seguridad!

Read Full Post »

Seguridad y Negocio: ¿Amigos o rivales?

Cómo ha pasado el tiempo. El otro día – el 2 de Septiembre, para ser más exacto – me llegó a mi correo una solicitud de aprobación de un comentario de este blog. Y recién ahí vine a darme cuenta que han pasado casi 3 años desde mi última publicación en este sitio. Y vaya que ha pasado agua bajo el puente. Tanta como puedan imaginarse. Y posiblemente más.

Y en estos casi 10 años que llevo metido en el mundo de la Seguridad de la Información he deambulado por los distintos ámbitos y escenarios que ofrece este fascinante mundo. Desde el mundo de la pedagogía, la investigación y desarrollo, las soluciones técnicas de seguridad y ahora último, el amplio mundo de la gestión; formando parte del mundo de los clientes y también del mundo de los proveedores.

Casi 3 años han pasado desde la última vez que escribí en este blog. Y hoy decidí volver a darme una vuelta por éste, que fue mi hogar virtual por tanto tiempo, para abrir el debate sobre una pregunta que me siempre me dado vueltas por la cabeza referente al mundo de la seguridad de la Información.

La Seguridad y el Negocio, ¿Son amigos o rivales?

Es sin duda una pregunta que difícilmente podremos resolver acá.

Recuerdo mi época de proveedor de servicios. Trabajaba en el área más desafiante de cualquier consultora de tecnología: el área de seguridad de la información. Vender una solución de seguridad era sin duda un gran desafío; lograr vender un proyecto o servicio de seguridad era mucho más complejo que vender una actualización de Exchange o de Directorio Activo. Nuestra facturación siempre estaba en la cuerda floja, y había que extremar recursos para poder vender una migración de la plataforma antivirus, o un análisis de las políticas de grupo de una compañía o de las prácticas de seguridad de servidores que tenían en el área de informática. Siempre me pregunté el por qué se hacía tan difícil implementar este tipo de soluciones.

Pasaron los años y ya conociendo la otra cara de la moneda – vale decir, el lado del cliente – es que logré entender un poco mejor en donde residía la dificultad de introducir mejoras de seguridad en el mercado. Y es que por regla casi general, la seguridad es vista como un enemigo natural del negocio. Y es algo de lo cual no necesariamente podemos culpar a las organizaciones, ni al sistema. Hasta cierto punto, la seguridad si es enemiga del negocio. Los controles de seguridad incorporan actividades que impactan en tiempo y complejidad a los procesos. Pasando por el simple ejemplo de un firewall, que al ser implementado necesariamente introduce un delay en el flujo de paquetes, un antivirus que revisa constantemente los archivos en búsqueda de secciones de código que coincidan con algunas de las firmas existentes en la base de datos del motor o un proceso formal de autorización de intercambio de información, que incorpora actividades de análisis de riesgo que pueden dilatar la entrega de los datos en uno o dos días. Mirado desde ese punto de vista, la seguridad suele entorpecer el negocio, lo cual tiende a generar un rechazo casi inmediato del usuario final que desea maximizar su producción y quedar más cerca de cumplir con las metas de su negocio, lo que generalmente está asociado a la obtención de un bono de desempeño.

Por otro lado, la seguridad tiene el gran inconveniente de estar asociada intrínsecamente al concepto de Riesgo. En otras palabras, las soluciones de seguridad de la información consisten por lo general en controles que nos protegen sobre situaciones que no sabemos con certeza si van a ocurrir. «Pero si no hemos tenido un incidente en años» es un argumento al que constantemente los especialistas de seguridad de la información se ven enfrentados al defender la incorporación de un nuevo control en un proceso que «hasta ahora no ha fallado nunca». La complejidad que tiene el cálculo del ROI (Retorno de inversión) de una solución de seguridad es otro factor a favor de la definición de la seguridad como un rival del negocio.

Sin embargo, la seguridad de la información no es necesariamente un rival del negocio. El establecer controles ciertamente puede hacer las cosas más lentas, pero puede por otro lado garantizar la continuidad de nuestro negocio, algo que si es ampliamente valorado por el mercado actual. O puede evitarnos la exposición a multas, sanciones o incluso la pérdida de nuestra imagen corporativa. El dicho de «no sabes lo que tienes hasta que lo pierdes» cobra gran sentido en este aspecto.

¿Cómo poder transformar la visión clásica de la seguridad como un enemigo del negocio en algo totalmente opuesto a ello?

¿Que opinan ustedes?

¡Bienvenidos de vuelta!

Read Full Post »

Cambios

 

En la vida existen distintos tipos de cambios. Algunos buenos, otros malos, otros inesperados y otros largamente deseados; sin embargo, aquellos cambios que realmente pueden transformar nuestras vidas se pierden, pues los dejamos ir debido al miedo que nos invoca la rutina, lo repetitivo, lo monótono, la comodidad en la que nos solemos encontrar cuando nos enfrentamos a ellos.

Todo cambio es una apuesta, en la que creemos que se puede ganar mucho pero a la vez se puede perder mucho también. Sin embargo, pocas veces visualizamos que en realidad todas aquellas cosas que podríamos perder en realidad no serán una pérdida, sino que más bien un sacrificio, una inversión, para llegar un poco más arriba del lugar donde estamos antes. Y en ese sentido, suelo siempre recordar una historia que leí en un libro cuando era 10 o 15 años más joven.

La historia hacía un paralelismo entre la vida y un edificio de departamentos. Nosotros partimos nuestra vida en el primer piso de este edificio, en el departamento más incómodo, frío y oscuro del lugar. Y a medida que ganamos experiencia, que vencemos en nuestras propias batallas personales, nos vamos moviendo de departamento en departamento en ese piso, a condiciones cada vez mejores, consiguiendo respeto y admiración de nuestros pares, hasta llegar al final del piso. Más cómodos no podemos estar; somos los más experimentados, los más sabios, los que viven en mejores condiciones del piso. Es ahí donde hemos llegado al fin de una etapa y es en ese momento donde cae una escalera desde el piso superior. Es la posibilidad de enfrentar un cambio, un cambio de nivel.

Y es ahí donde se plantea la gran paradoja del cambio. ¿Nos movemos? ¿Apostamos por un piso más arriba? Estamos cómodos donde estamos… Nos respetan, ¡nos admiran!. Somos los reyes del piso. ¿Y qué habrá arriba? ¿Valdrá la pena subir y enfrentar nuevos desafíos, o nos quedamos en nuestro marco de comodidad?

A través de los años, me ha tocado conocer visionarios y rutinarios. He visto gente que ha subido esa escala sin dudarlo, otros que lo han hecho con temor y muchísimos que han preferido la comodidad que las libertades que han obtenido con el tiempo. Mal que mal, el afrontar un cambio no es fácil. La ceguera y el temor a los cambios puede transformarse en un eterno castigo que mantiene a las personas atadas al piso de su edificio, viendo como algunos dan el salto, despidiéndose de ellos cada vez.

Hace algunos meses tuve la sensación de que había llegado al último departamento de mi piso. Y hace algunas semanas, la escala del piso superior bajó. Pensé en mis múltiples libertades y como las perdería. Pensé en utilizar corbata y entrar temprano todos los días. Pero también pesé rápidamente en el tremendo desafío y las posibilidades de crecer que afrontaría. Y decidí subir.

El día de mañana, a poco más de 7 años de haber obtenido mi título profesional, comienzo una nueva etapa. Lo que yo he llamado la fase de la especialización. Es un gran cambio sin duda, y no tengo otra cosa que muchas ganas de empezar a vivir dicho cambio.

Espero volver pronto a escribir en el blog, pero para comenzar a hablar de este nuevo gran mundo al cual comenzaré a enfrentarme: El mundo de la gestión de la seguridad.

 

Read Full Post »

Compliance de seguridad en las organizaciones: Fijándose metas a futuro (Parte II)

Al finalizar la primera parte de este artículo, les comentaba que existen en el mundo varias iniciativas orientadas a normar la seguridad de la información en las organizaciones. Algunas han llegado a transformarse en normas y son certificables, mientras que otras son sólo códigos de buenas prácticas o tocan de forma indirecta buenas prácticas asociables a la seguridad de la información.

Y es que en realidad es difícil crear una “norma de seguridad” que sea válida para todo el mundo. Y esto se debe sencillamente a dos cosas. La primera de ellas es lo que yo llamo “el paradigma de la seguridad”, o en otras palabras, la disyuntiva que existe entre seguridad y funcionalidad. Estos dos conceptos suelen ser como dos personas tirando de una cuerda; es decir, al ganar terreno uno, pierde terreno el otro. A no ser que incurra en costos adicionales – algo que generalmente no es visto con buenos ojos, sobre todo en el mercado latinoamericano – el aumento de la seguridad en una organización implica una disminución en las funcionalidades existentes, lo que en casos extremos puede afectar duramente la productividad. Por el contrario, el añadir nuevas funcionalidades o aumentar las cartas en el naipe del usuario, no hace otra cosa que abrir nuevos riesgos potenciales, lo cual está estrictamente relacionado con el concepto de “superficie de ataque”.

La segunda de las razones que hace difícil la creación y aplicación de una norma universal de seguridad tiene relación con la idiosincrasia de cada compañía, organización o institución. Y en ese sentido, esta es la explicación más frecuente ante el fracaso de una norma estadounidense en países de América del Sur. Cada empresa tiene su propia huella digital, su foco de trabajo, las herramientas que tiene que tener disponibles y las que no, y en muchos casos, la aplicación inflexible de una normativa termina trayendo más problemas que beneficios. En esto también influye mucho la “cultura organizacional” reinante y el “nivel de conciencia” de seguridad que tengan los distintos usuarios. Y que mejor ejemplo que el uso de messenger: mientras algunas compañías lo ven como un foco de ocio y un riesgo para mantener la productividad a niveles aceptables, otros lo ven como una herramienta indispensable para una comunicación ágil y eficiente entre personas que se ubican en lugares remotos. Lo mismo pasa con la definición del SPAM: Para la mayoría de la gente los correos de “ciertos medicamentos” son claramente correo no deseado, mientras que para algunos esos correos si pueden prestarles ayuda. Es por esto que por lo general las normativas o códigos de buenas prácticas de seguridad terminan siendo bastante ambiguos en su definición.

Revisemos entonces algunas de las normas más conocidas en el mundo de la seguridad:

BSI, los pioneros

El instituto británico de estándares (BSI) se puede jactar de ser una de las primeras instituciones que se dedicó en serio a tratar el tema de la seguridad de la información. De hecho, en 1995, la BSI publicó la primera versión de la famosa normativa BS 7799:1, conocida como “Information Security Management Standard”, el cual consiste en un código de buenas prácticas para la administración de la seguridad de la información. La principal fortaleza teórica de esta normativa es la división inteligente de la seguridad de la información en distintos “dominios”. Originalmente, estos dominios son 10 y se los presento a continuación:

1. Política de seguridad corporativa. Implica la estructura, contenidos y sentido de la política de seguridad corporativa, la cual debe adaptarse a la realidad de la compañía y las necesidades de seguridad de la misma.
2. Infraestructura de seguridad de la información. Implica la manera en que las compañías deben organizarse internamente para poder controlar de forma efectiva la seguridad de la información de forma interna. Esto implica además la existencia de procedimientos escritos para aquellas acciones en donde pueda existir un impacto en la seguridad de la información, de tal manera que se puedan definir los roles y las responsabilidades de cada uno de los participantes en dichos procesos.
3. Control y clasificación de activos. En este punto, se abarca la definición de niveles de confidencialidad para los activos de información y la posterior clasificación de los mismos en dichos niveles. Este punto suele ser crítico y guarda estricta relación con el concepto de continuidad de negocio, que también es abarcado por este estándar.
4. Seguridad del personal. En este punto, se trata el tema de las personas y su relación con la seguridad. Entre otras cosas, se abarca el concepto de “awareness” o “conciencia” de seguridad, y la implicancia de la seguridad en los procesos de selección y de desvinculación del personal.
5. Seguridad física. Este dominio abarca los conceptos asociados al control de acceso físico a la información, abarcando también la seguridad en el diseño de las instalaciones orientadas al almacenamiento de información.
6. Administración de comunicaciones y operaciones. Este dominio implica la creación de procedimientos para la administración y operación de todas las unidades de procesamiento de información, incluyendo operación detallada y respuesta a incidentes. Además, abarca los conceptos de seguridad de redes, el acceso remoto, el intercambio de información con terceros y el comercio electrónico.
7. Control de acceso. Orientado al control de acceso lógico, este dominio controla los procesos de negocios que impliquen acceso a la información. Esto incluye la definición de políticas de control de acceso, administración del acceso de usuario, administración de privilegios, políticas de contraseñas, revisión de derechos de usuario, definición de métodos de autenticación de usuario, segmentación de redes, controles de acceso de red, NAC (O NAP, si lo llevamos a Windows 2008), monitoreo de sistemas y otros.
8. Desarrollo y mantenimiento de sistemas. Este control abarca los procedimientos necesarios para controlar los procesos de desarrollo, QA y paso a producción de los distintos sistemas propios de una compañía. Aspectos críticos como el control de versiones, la documentación, y la definición de requerimientos de seguridad en cada una de estas etapas, además del concepto de desarrollo seguro son controlados por este dominio.
9. Administración de la continuidad de negocio. La definición de estrategias, estándares, procedimientos y la posterior implementación de tecnologías orientadas a obtener respuestas ágiles a incidentes y así asegurar la continuidad de los sistemas que soportan la información en el tiempo es parte de los temas abarcados por este dominio. El plan de continuidad de negocio es el fruto de una correcta clasificación de activos de seguridad, de la determinación concreta y objetiva de las criticidades de los sistemas que soportan la información, de la consideración de todos los factores de riesgo existentes, de la redacción de medidas claras y concretas y de su posterior prueba y constante actualización. El plan de continuidad de negocio está íntimamente relacionado con el plan de recuperación de desastres, que se pone en el peor de los casos posibles al cual podría enfrentarse la organización.
10. Compliance. Finalmente, el último dominio de la normativa abarca la adaptación de todos los otros puntos anteriormente tomados a las normativas legales vigentes en el país de aplicación de la norma, además de definir cuál es la estrategia para cumplir con los requisitos planteados en los 9 dominios anteriores.

La BS7799:1 abarca estos 10 dominios a través de 127 controles, que no son otra cosa que requisitos que deben ser cubiertos por la compañía que busca adaptarse a esta norma. Y es aquí donde algunos controles son algo ambiguos.

En 1999, BSI asestó el segundo golpe. Y lo hizo publicando la segunda parte de la norma, titulada “Information Security Management Systems: Specification with guidence to use”. Esta parte de la norma se enfoca en el concepto de la implementación de un ISMS (Information Security Management System). Como lo dice su nombre, un ISMS es un conjunto de políticas y procedimientos orientados a administrar de manera eficiente y efectiva la seguridad de la información a través del tiempo. Esto implica el uso de un concepto clave, que se repite en la mayoría de los frameworks orientados a la seguridad y a la madurez de los sistemas. Estamos hablando del PDCA, el cual fue incorporado a la BS7799:2 en el año 2002.

 

En otras palabras, el PDCA indica que en una primera etapa se debe hacer un análisis de riesgo que permita identificar los puntos débiles y las prioridades que existen en la compañía, para posteriormente diseñar el conjunto de políticas, procedimientos y soluciones orientadas a mitigar los riesgos encontrados (Plan). Luego, en la siguiente fase se debe implementar el conjunto de soluciones anteriormente diseñadas y operarlas (Do). Esto debe ser acompañado de una constante revisión y monitoreo de las estrategias, políticas y soluciones entregadas, a fin de detectar fallas o deficiencias en la implementación del plan (Check), para finalmente, una vez establecidos los puntos de mejora, proponer nuevas ideas (Act) para volver a ser diseñadas (volvemos a Plan). La tercera parte de la BS779 fue publicada en 2005, y abarca el concepto de análisis de riesgo.

Sin duda y como sucede con todo pionero, BS7799 fue la base de otro de los gigantes en cuanto a normativas: La organización internacional de estándares (ISO) quien sacó dos familias de políticas inspiradas en la BS7799: La ISO 17799 y la ISO 27001. Estas dos normas serán parte del análisis de la tercera parte de es artículo. Nos vemos pronto y pasen felices fiestas!

Read Full Post »

Compliance de seguridad en las organizaciones: Fijándose metas a futuro (Parte I)

Sin duda alguna, la seguridad de la información pasó de ser una inquietud a ser una función más en el negocio de cualquier empresa o institución que maneje información valiosa de sus clientes. Ya sea el historial médico, los antecedentes financieros o cualquier otro tipo de dato de negocio, un conflicto o incidente de seguridad que ponga en riesgo datos como éstos puede desembocar en cuantiosas pérdidas para quienes soportan o administran dicha información. En la siguiente seguidilla de artículos pondremos en la palestra varios puntos críticos sobre el que debería ser el gran desafío de toda organización que quiera incorporar la seguridad a su ADN corporativo: El compliance de seguridad.

Y para partir, cabe preguntarse: ¿Qué significa compliance? Como en muchas otras ocasiones, esta es una palabra de la lengua inglesa que guarda relación con el término “cumplimiento”. Y dentro de este contexto, el compliance apunta a una serie de requisitos mínimos que deben ser cubiertos para poder adoptar un nivel estándar de seguridad, que garantice – así como una ISO 9001 lo hace con la calidad – la seguridad no sólo de nuestros sistemas, sino que de nuestros procesos y de nuestra forma de acceder, editar, almacenar, distribuir y – en general – administrar los activos de información.

Y de aquí nace la segunda pregunta lógica. ¿Qué podemos definir por información? Un activo de información se va a definir como toda aquella cosa – tangible e intangible – que guarde relación directa o indirecta con cualquier dato cuya integridad, confidencialidad y disponibilidad deba ser garantizada por nosotros. Bajo esta definición, un activo de información suele pertenecer a las siguientes categorías:

1. La información por si misma, como por ejemplo un correo electrónico, una hoja de papel con el detalle de los sueldos del área de servicios de una compañía, una presentación con la visión estratégica de un negocio o el resultado de una conversación informal donde un cliente entrega detalles importantes para adjudicarse un proyecto;
2. Los medios físicos y lógicos que la soportan, como por ejemplo una base de datos, un servidor de correo electrónico, o un archivador con los contratos del personal de una compañía, o un portal de intranet (como SharePoint) y,
3. Las personas que manejan dicha información, como el administrador de un sistema o un gerente de investigación y desarrollo.

Pues bien, uno de los primeros y más grandes desafíos que presenta el compliance de seguridad en cualquier compañía tiene que ver con la idiosincrasia de las mismas. Y de hecho, este fue el primer gran desafío al cual se enfrentaron las normativas de seguridad de la información a nivel mundial. Hace varios años atrás, la BS (British Standard) sacó uno de los más conocidos códigos de buenas prácticas de seguridad: BS7799 (Que de hecho, inspira la normativa chilena de seguridad de la información, la NCh 2777). Esta normativa puso en la mesa varios aspectos claves relacionados con la seguridad de la información. Sin embargo, uno de los problemas que tiene esta normativa – que de hecho, hereda la norma chilena – es la dificultad de poder adaptarla a la realidad única e irrepetible de nuestras empresas u organizaciones.

¿Por qué sucede esto? La respuesta a esta pregunta  no es tan simple, y establece uno de los principales paradigmas teóricos que tiene la seguridad de la información, y que corresponde a la dicotomía que existe entre la seguridad y la funcionalidad. Una de mis frases favoritas con respecto a la seguridad de la información es “no hay medida de seguridad popular”, y es que por lo general las visiones clásicas de la seguridad apuntan a las restricciones, y las restricciones lógicamente se transforman invariablemente en impactos directos o indirectos a la productividad de una compañía. O al menos, eso parece a primera vista, y es de hecho la percepción que tienen muchos usuarios en todos lados. ¿Es tan así? Este es un tema que da para un amplio debate; en lo personal pienso que en algunos casos, las restricciones de seguridad pueden ser un aporte a la productividad de una organización, puesto que disminuyen la posibilidad de fallas, minimizan el downtime de nuestras compañías y en muchos casos, hacen más rápido y expedita la operación de las labores de soporte y recuperación de nuestros sistemas. Sin embargo, otros resaltan – no sin justa razón – que en muchos casos las medidas de seguridad aumentan los tiempos de procesamiento de la información, afectando directamente el rendimiento o los resultados del negocio. Sin duda, es un tema que da para mucha discusión y que pretendo abarcar en artículos a futuro.

Volviendo al tema del compliance, existen varias instituciones internacionales que han hecho frente a este desafío de generar una normativa de seguridad que sea aplicable y que por sobre todo, sea tangible en su aplicación. Así, nos encontraremos con diferentes normativas y/o metodologías de seguridad las cuales podremos adoptar para nuestra organización. Si queremos iniciar un camino serio hacia la meta del compliance de seguridad, lo primero que tendremos que tener presente es la elección de un marco o metodología de buenas prácticas de seguridad a la cual adherirnos.

En el próximo capítulo de esta serie de artículos, revisaremos una a una las principales normativas y metodologías de seguridad de la información, desde sus fundamentos, y veremos sus semejanzas y sus diferencias. Así que si quieren conocer un poquito más de la ISO de seguridad, COBIT, el aporte de SOX en lo que es seguridad TI, la BS, el estándar del NIST y la norma chilena de seguridad de la información, los invito a seguir atento a los Tips de seguridad de este humilde servidor. 🙂

Read Full Post »

El recetario de un buen consultor – Parte III

Y llega la última parte (y final) sobre las habilidades que debe desarrollar un buen consultor. Veamos los últimos 4 ingredientes de esta receta.

7. Transfórmate en un chef de los sistemas

La habilidad de diseñar es otra de las cualidades que un buen consultor debe desarrollar sí-o-sí. Diseñar es como un arte culinario: Uno puede tener todos los ingredientes y la receta escrita en un papel, pero esta no es señal de que lograremos hacer un plato delicioso. Y no solo eso: un plato que a nosotros nos parezca delicioso no tiene por qué entregar la misma sensación a nuestro cliente. En base al mismo criterio planteado, se podría decir que la habilidad de diseñar consiste en la capacidad de adaptar una solución a las necesidades reales del cliente. Y es ahí donde entra en juego la consultoría. Muchos clientes implementan soluciones sólo porque el brochure sonó atractivo, pero a la hora del necesario encuentro entre la tecnología implementada y su negocio, a veces terminan dándose cuenta que lo que sonaba bonito en el papel, no era tan bello en la práctica. Un buen diseñador estudia antes la realidad y la naturaleza del negocio, recopila las necesidades concretas del cliente, hace un match entre lo solicitado y las posibles soluciones existentes y termina definiendo cómo debe implementar su solución para calzar con las necesidades reales del negocio.

Y esto no siempre se logra. Ahí es cuando es importante “saber decir que no”. Si implementamos algo que sabemos que no va a cumplir todas las expectativas del cliente, haremos nuestro el dicho “pan para hoy, hambre para mañana”. En ese sentido hay que declararle claramente al cliente las limitantes y los alcances que tiene la solución que se está diseñando, llegando a un punto de conciliación que de todas maneras debe ser previo al inicio de cualquier proyecto.

Otra cosa importante del diseño de las soluciones, sobre todo si se trata de un proyecto de seguridad de la información, es tener en cuenta que “lo más bueno no es siempre lo mejor”. Una consultoría siempre debe tener como foco principal al negocio, y las soluciones ofrecidas por un buen consultor siempre deben buscar no atentar contra este principio básico. Por ejemplo en seguridad, una solución de políticas de grupo “perfecta” – considerando todas las buenas prácticas que dictan los libros – podría derivar en la obstrucción, disminución del rendimiento, e incluso la paralización parcial del funcionamiento del núcleo de un negocio. Y eso implica que nuestro esmero por buscar lo más bueno podría atentar contra la satisfacción de quien nos contrata e incluso podría terminar afectando nuestra propia reputación. En resumen, para transformarse en un chef de los sistemas no hay que olvidar nunca al negocio, hay que buscar ofrecer la solución más óptima posible y hay que declarar responsablemente los alcances y limitantes de la solución que vayamos a ofrecer. Después de eso, un buen chef de sistemas nunca termina de perfeccionarse, puesto que a medida que aparecen nuevas tecnologías y ampliamos nuestro espectro de soluciones, debemos continuamente esforzarnos en hacer un “tuning” o “perilleo” de nuestras soluciones, tratando de buscar la perfección con cada vez mayor certeza.

8. Saber expresarse

Una de las principales diferencias entre un excelente técnico y un buen consultor radica en la capacidad de expresión. Sin menospreciar a los primeros, el consultor – además de poseer una buena base técnica – es capaz de explicar a un cliente de manera sencilla y convincente los fundamentos y las ventajas de las soluciones que está implementando.

La habilidad de comunicación es absolutamente necesaria en un buen consultor. Es siempre necesario mostrar y transmitir seguridad y tranquilidad en nuestros mensajes hacia el cliente, dejar de lado las muletillas típicas como el “ehhhhh…” o el “esteeeeee…” y saber dirigir nuestro discurso dependiendo de quién sea nuestra contraparte. Por lo general, cuando uno debe enfrentarse a un gerente o líder de área debe tener presente que el exceso de tecnicismos no es algo que precisamente vaya a volver loco a nuestro interlocutor, sino que muy por el contrario, puede terminar mareándolos y eso suele jugar en nuestra contra. También es necesario aprender el valor del lenguaje corporal: el uso de gestos para reforzar nuestras ideas (sin caer en la exageración) y el correcto uso del tono de voz es parte del arsenal que todo buen consultor debería cargar a diario.

9. La visión comercial

Esta habilidad está muy relacionada con los dos puntos anteriores. Desarrollar la visión comercial requiere capacidades de diseño y además el buen uso de nuestras habilidades de expresión. Además, implica un buen conocimiento técnico de las características de nuestras soluciones y de la problemática de negocio planteada por nuestro cliente.

Es muy difícil saber vender. Muchas veces he estado convencidísimo que le he pegado el palo al gato con una propuesta de negocio, pero al final algo termina haciendo fracasar al mismo. Algo me ha faltado. ¿Costos altos? ¿No interpreté bien lo que requería el cliente? ¿La solución tardaba mucho tiempo en implementarse?. Debemos recordar que el cliente siempre va a querer soluciones efectivas y eficientes; en otras palabras quiere algo que cumpla el criterio de las 3 B: Bueno, Bonito y Barato.

Algunos consejos prácticos para ir desarrollando esta visión comercial es el uso inteligente de herramientas como PowerPoint. PowerPoint tiene mucho potencial como herramienta para presentar ideas a la gente. El uso de los SmartAds (mi herramienta favorita en esta versión 2007) para expresar los puntos claves de nuestra presentación, el uso atractivo de algunas animaciones e imágenes para representar ideas sencillas pero potentes, y la regla del 7 mágico (en una presentación, nunca usar más de 7 puntos que a su vez no deben tener más de 7 palabras cada uno) pueden resultar una ayuda muy importante a la hora de “vender ideas”. Volviendo un poco al punto 8 de este recetario, cuando uno debe hacer una propuesta de negocio siempre debe pensar en la persona que la va a leer, y en base a eso plantear nuestra estrategia de ataque. Y finalmente, el uso de demostraciones preparadas – que se note que son nuestras y no prestadas – suele tener alto impacto. ¿Cómo hacerlo? Pues volviendo al punto 1 de este recetario y usando nuestro laboratorio personal para hacerlo.

Además, siempre es clave definir claramente los objetivos generales y específicos del cliente en nuestras propuestas, mostrar ventajas de nuestra solución en relación a dichos requerimientos y contar siempre con un diagrama conceptual y funcional de nuestra solución – nuevamente, ojalá creado por nosotros mismos y no sacado de un sitio Web.

10. La experiencia, el cimiento de todo este recetario

Si bien no es condición suficiente ni tampoco necesaria para formar a un consultor, la experiencia termina diferenciando a los consultores de los mejores consultores. Algún día quiero llegar a ser de los mejores, como otros colegas que respeto y admiro, y para eso debo seguir día a día adquiriendo experiencia. La experiencia afina nuestros sentidos y pule nuestras habilidades. Cada documentación es mejor y más completa que la anterior, la experiencia amplía nuestra base de conocimientos y enfrentar un problema que ya nos ha sucedido en circunstancias similares no es lo mismo. Con la experiencia uno aprende los trucos que van haciendo nuestro trabajo del día a día más fácil, y por sobre toda las cosas nos entrega la confianza para enfrentar un problema. Reutilizando un ejemplo de este mismo escenario, recuerdo que las primeras veces que tuve que solucionar problemáticas con ISA Server perdí mucho tiempo en dar con la raíz del problema. Ahora, a poco más de un año de mis primeros acercamientos en vivo con esta solución, soy capaz de reconocer con mayor facilidad algunos problemas típicos de delegación de autenticación o de definición de rutas de red. Los nuevos problemas a los que me enfrento con ISA Server (cada día nace algo nuevo, reza el dicho), aumentan mi base de conocimientos interna sobre este tipo de solución, y me hacen enfrentar con mucha más tranquilidad que antes a este producto en situaciones reales de clientes. Sin embargo, siempre queda mucho por aprender, y ya está llegando la nueva versión – ForeFront TMG – a la cual de seguro habrá que empezar a estudiar, conocer e implementar en un futuro cercano. Así es el día a día del consultor. Y es lo que hace entretenido a este trabajo.

 

Y bien, así llegamos al final de este artículo. Sin considerarme el mejor de los consultores – ni mucho menos – quise compartir con ustedes mi visión de las habilidades que debemos ir cultivando día a día para crecer en este campo que es la consultoría. Si ustedes tienen algún otro ingrediente que agregar a la receta, o compartir su visión de la misma, bienvenidos. Este es el primero de los artículos que escribo después de muchos meses en este blog, el cual pretendo seguir reactivando. Pronto, se viene un artículo sobre compliance y seguridad: El próximo desafío de Microsoft en Chile.

 

Saludos a todos!

Read Full Post »

Construyendo un nuevo ciclo de charlas

Recuerdo hace ya algunos años cuando tuvimos una idea alocada con Rodrigo Anabalón y Mauricio Gómez. Crear un ciclo de charlas de seguridad que partiera de los conceptos clave y llegara a tocar temas más avanzados nos pareció una idea entretenida e interesante. Así, con un total de 10 charlas en las cuales creamos incluso una historia – que tenía al agente secreto X como su principal protagonista, dimos vida al primer ciclo de charlas de comunidades Technet en Chile. Una idea que podemos catalogar de exitosa, puesto que tuvimos un promedio de asistencia más que respetable (bordeando las 40 personas) y lo mejor de todo, de esas 40 fácilmente unas 30-35 llegaron al menos a 7 de las 10 charlas. De hecho, en las últimas charlas ya las caras eran todas conocidas. Corría el año 2006 en ese entonces.

Pues bien, han pasado 3 años desde aquellas aventuras y hoy, 2009, con bastante más experiencia “real” en el cuerpo, es hora de volver a las canchas. Y es por eso que en conjunto con Ricardo Rojas, director de ITPro Chile (la comunidad IT de Chile y a la cual he vuelto después de casi 4 años) estamos preparando un nuevo ciclo de charlas, orientadas a estudiantes universitarios. Ya tengo un nombre tentativo para el ciclo: “Seguridad de la información, en búsqueda de la piedra filosofal” y tengo algunas de las charlas iniciales ya diseñadas. La idea es hacerles pública la idea para así recibir alguna idea entretenida que nos ayude a hacer un ciclo no solo atractivo, sino que muy útil para los estudiantes, y por qué no, replicables para los profesionales TI e incluso para algunos Developer de nuestro país.

Entonces, aquí vamos (Espero sus aportes!)

1. Seguridad de la información, en búsqueda de la piedra filosofal (Principios básicos de seguridad)

“¿Qué significa seguridad de la información? ¿Cuáles son sus principios básicos? ¿Existe una panacea en la seguridad? La primera charla del ciclo “Seguridad de la información, en búsqueda de la piedra filosofal” pretende entregar éstas y otras respuestas, y fijar los cimientos de seguridad que deben ser tomados en cuenta por toda persona que se interese en el tema.”

Contenidos:

• Principios básicos de la seguridad (La triada de la seguridad)
• Los aspectos clave de la seguridad: Personas, procesos y tecnología
• Riesgos, incidentes de seguridad e impacto en el negocio
• Conceptos clave en la administración del riesgo y la madurez de seguridad

2. Detrás de bambalinas: Pilares de la seguridad de la información

“Para iniciar la búsqueda de un nuevo estado de seguridad, es necesario comprender y aplicar dos conceptos claves en cuanto a las estrategias de administración del riesgo. La defensa en profundidad (Defense in Depth) y el Hardening de Sistemas son las metodologías que serán analizadas en esta presentación. Además, conocerás el aporte de Microsoft y las metodologías que pueden llevarnos de la teoría a la práctica.”

Contenidos:

• Defensa en profundidad, de los militares al mundo de la informática
• Hardening de sistemas: ¿Cómo poder aplicarlo?
• Hardening físico
• Hardening de red interna y externa
• Hardening de sistema operativo (con ejemplos prácticos)
• Hardening de aplicaciones
• Protegiendo los datos
• Metodologías Microsoft aplicables a la implementación de modelos de seguridad: Introducción a MOF y Core-IO

3. Protegiendo al punto débil: Awareness y seguridad en las personas

“Así como el vehículo más seguro del mundo puede ser chocado si lo maneja un niño de cinco años, un administrador que adopte buenas prácticas puede hacer los sistemas de información tan robustos como él quiera. En esta sesión abordaremos el tema de las personas y el impacto que una mala práctica de seguridad puede tener en el negocio. Aprende las tablas de la ley de la seguridad en el día a día.”

Contenidos:

• Kevin Mitnick y los 3 principios básicos de la ingeniería social
• ¿Cuál es el impacto de un incidente de seguridad?
• Los errores y malas prácticas típicas de los usuarios
• El Awareness: entrenamiento para ser más seguro
• El problema sin fin de las contraseñas
• Buenas prácticas y consejos para el día a día

4. Tecnologías de seguridad Microsoft: Protegiendo al punto final

“La evolución en las medidas de seguridad que Microsoft ha ido incorporando de manera nativa en sus sistemas operativos, permiten contar con sistemas cada vez más seguros. Orientada a Windows 7, esta presentación resume varias de las herramientas de combate que tenemos a la mano con nuestro sistema operativo, muchas de las cuales frecuentemente desconocemos.”

Contenidos:

• (Prácticamente) todo está escrito: Windows 7 Local Policies
• Discos a prueba de balas: BitLocker
• User Account Control: Una ayuda necesaria
• A prueba de niños: Control parental
• Internet Explorer 8, a prueba
• Un doctor en su equipo: El equipo de combate antimalware para el hogar

5. Tecnologías de seguridad Microsoft: Seguridad de estaciones a nivel corporativo

“La protección del punto final, clave dentro del hardening de sistemas operativos, puede ser controlada de forma corporativa. Conozca en esta sesión como Microsoft utiliza la integración entre distintas tecnologías para proteger integralmente los sistemas operativos de la organización y los servicios que la misma provee al usuario final.”

Contenidos:

• WSUS 3.0 SP2: Más actualizado, más seguro
• NAP: No se admiten infecciones
• ForeFront Client Security 2.0: Administración y análisis centralizado para el combate anti-malware
• ForeFront Server Security: Protegiendo los servicios críticos
• Group Policies: Estrategias para un control centralizado de estaciones de trabajo.

6. Tecnologías de seguridad Microsoft: Protegiendo el último bastión

“Desde tiempos inmemoriales, la gente asoció la seguridad con los hackers, firewalls y la red externa. Si bien no es el único punto de ataque en un sistema, suele ser uno de los más importantes a considerar dentro del hardening de sistemas. Conozca en esta sesión las nuevas alternativas que Microsoft posee para proteger el último bastión de nuestros sistemas.”

Contenidos:

• ISA Server 2006: El Firewall de Microsoft
• ¿Qué debe saber para ser un maestro de ISA Server?
• Buenas prácticas en el diseño
• Consejos clave para una administración eficiente
• El potencial de ISA Server
• ForeFront TMG: Lo que viene
• Novedades y mejoras en relación a ISA Server

7. Tecnologías de seguridad Microsoft: La importancia de los datos

“La fuga de información es uno de los desafíos más importantes del encargado de seguridad de una compañía. La protección en el almacenamiento, acceso, edición y distribución de la información puede ser abarcada utilizando la combinación de tecnologías de seguridad que serán abarcadas en esta sesión.”

Contenidos:

• Rights Management Services: Protegiendo los datos del uso no autorizado
• DPM: La importancia del respaldo y almacenamiento de información
• Firmas digitales: Asegurando la validez de nuestra identidad
• El aporte de Exchange 2010 en la seguridad del documento electrónico

8. Tecnologías de seguridad Microsoft: El desarrollo no es cosa de niños

“Crear un “Hello, World!” usando privilegios de administrador es uno de los errores más frecuentes de los desarrolladores de software. Estas prácticas, unidas a la importancia de un correcto proceso de documentación, versionado y paso a producción de los sistemas forman parte de las buenas prácticas de desarrollo que debe seguir todo developer. Conoce este y otros conceptos clave en esta sesión.”

Contenidos:

• Metodologías de desarrollo seguro: SDL
• El concepto de menor privilegio
• Buenas prácticas para un desarrollo seguro: Haciendo un “Hello, World!” seguro
• ¿Es más seguro el código abierto?

9. Seguridad en los procesos: Administrando el riesgo eficientemente

“Conozca los conceptos clave en la administración del riesgo de seguridad de la información, y comprenda como los distintos modelos existentes en el mercado internacional se relacionan entre sí. Descubra algunas estrategias simples y efectivas que le permitirán ordenar la seguridad en una organización”

Contenidos:

• ¿Cómo determinar mi estado de seguridad?
• La matriz de riesgos y la asignación de prioridades de seguridad en la organización
• Modelos y metodologías internacionales y su relación con la seguridad: COBIT, SOX(TI), MOF ¿Cómo se relacionan?
• Algunos consejos prácticos

10. Continuidad de negocio: El dolor de cabeza de toda organización

“Un sistema que cae por un par de horas no solo causa daños directos por falta de productividad. Los clientes que dejan de comprar, los clientes que incluso se cambian a otra compañía, el costo de volver a levantar el sistema e incluso las multas recibidas transforman a un incidente de seguridad en un asunto muy serio en las organizaciones. La continuidad de negocio es un aspecto clave en el funcionamiento de toda empresa, y entender todo lo que hay que tener en cuenta para generar un plan de recuperación de negocio es vital para poder hacer de nuestra compañía un sinónimo de confianza y calidad de servicio. Conoce algunos de los secretos detrás de la continuidad de negocio en esta sesión.”

Contenidos:

• Continuidad de negocio: ¿Qué es y por donde empezar?
• El BIA y la clasificación de los activos de información
• Contingencia y alta disponibilidad: Semejanzas y diferencias
• ¿Qué es un plan de recuperación de desastres?
• Definiendo los pilares del DRP: Punto de retorno y tiempo de retorno
• La importancia de ponerse a prueba
• Tecnologías Microsoft al servicio de la continuidad de negocios

11. Marco Normativo: La seguridad en Chile

“Esta presentación cierra nuestro ciclo de seguridad: “Seguridad de la información: En búsqueda de la piedra filosofal” y presenta algunas de las normativas vigentes en Chile que tienen relación con la seguridad. ¿Qué es el delito informático? ¿Cómo protegernos de la invasión a la privacidad? ¿Cuál es el alcance de los derechos de autor? son parte de las preguntas que serán abarcadas en esta sesión final.”

Contenidos:

• Normativa Chilena de Seguridad de la información: NCh 2777
• La ley de protección de datos personales
• Derechos de autor: ¿Cuándo y cómo nos afecta?
• La figura del delito informático en Chile
• Consejos prácticos

Bueno, este es el esqueleto del ciclo de charlas que tengo en mente. ¿Faltan cosas? ¿Sobran cosas? ¿Qué opinan ustedes? Quedo a la espera de su feedback!

 

Saludos!!!

Read Full Post »

El recetario de un buen consultor – Parte II

y bien… hace unos días les contaba cuales son – a mi juicio personal – las cualidades que un buen consultor debe ir desarrollando para adquirir el “seniority” que todo consultor debería buscar. Sigamos entonces con los ingredientes de la receta.

4. De Sherlock Holmes a CSI

La capacidad de análisis a mi juicio es una de las habilidades que distinguen a un consultor de un consultor senior o experto en alguna materia. Tener capacidad de investigación de por sí es difícil, pero la capacidad de análisis es algo que se va desarrollando con el tiempo y permite ser más certero en las decisiones. ¿Cuál es la diferencia? La capacidad de investigación implica recopilar los antecedentes directamente relacionados con un problema y complementar dichos antecedentes con algunas búsquedas certeras para poder dar con la solución del mismo. La capacidad de análisis va un poco más allá: Consiste en investigar toda la historia, los antecedentes secundarios, y aquellos detalles más ínfimos para poder no solo encontrar la solución a un problema, sino que encontrar la solución más óptima del mismo. Les puedo entregar un excelente ejemplo de lo que quiero explicar: Un análisis profundo a través de consultas SQL a la base de datos de logs de un ISA Server, me permitió descubrir tráfico malicioso en una red. Determiné las subredes que generaban dicho tráfico malicioso y luego, asociando las IP “sospechosas” con los puertos de destino frecuentes del tráfico que las mismas generaban, pude determinar que parte de este tráfico era desmesurado y utilizaba puertos que, buscando “certeramente” en la red, eran conocidos como puertos frecuentes de aplicaciones maliciosas y P2P. Esto es casi un análisis forense, en donde a través de conocimientos muy sencillos de SQL (estoy lejos de ser un experto en bases de datos) pude llegar a determinar comportamientos anómalos en ISA Server, y por ende, encontrar la verdadera razón oculta tras un problema específico.

Nuevamente esta capacidad está íntimamente relacionada con los puntos anteriores!

5. Documentar para no reescribir la rueda una y otra vez

Aquí llegamos a una de las habilidades que a ratos es más difícil de encontrar en un buen consultor. Dicen por ahí que los grandes genios suelen ser muy desordenados; sin embargo, un buen consultor debe ser capaz de documentar las cosas que hace de una manera clara y concisa.

Y esto último no es un beneficio sólo para nuestros clientes, si no que también para nosotros mismos como consultores. La capacidad de documentar, y por sobre todo, de ser ordenados en nuestras documentaciones, nos ayudará a formar nuestra “base de conocimientos” (el primer punto clave del recetario). Por ejemplo, una práctica que he adquirido hace poquito tiempo es que, al terminar una implementación de una solución, genero una pequeña planilla excel con todos los códigos de error y advertencia en los logs de sistema y aplicación, indicando la descripción de la misma, la causa del error y la solución que se aplicó para corregir los mismos. Con este pequeño documentito, cuando nos enfrentemos a situaciones similares ya tendremos un primer punto de análisis en la mano, lo cual reducirá nuestros tiempos de resolución de problemas 🙂

Uno nunca termina de perfeccionar el proceso de documentación. Siempre que termino un documento de procedimientos, termino pensando que es el mejor que he hecho. Sin embargo siempre queda algo que mejorar. Algunos consejos prácticos:

a) No abusar de las imágenes, pero no olvidar de sacar todas las que sean necesarias. Las imágenes dicen más que mil palabras, pero deben utilizarse en su justa medida. Un documento de procedimientos debe no debe ser un collage de fotos. Las imágenes que no presentan opciones de configuración suelen omitirse. Sin embargo, siempre es bueno tenerlas todas para conocer la historia completa de lo que se hizo, de tal manera de no omitir ningún paso de los procedimientos. Podemos omitir imágenes, pero no pasos. No olvidar 🙂

b) Cuando un procedimiento se repite muchas veces, es mejor crear un procedimiento genérico y complementar con tablas los cambios en las configuraciones para procedimientos similares.

c) Los cambios, al final. Es mejor reunir todos los ajustes o perilleos a una configuración en un capítulo especial de “ajustes posteriores”. Esto tiene dos razones: dejando toda la configuración estándar por separado nos permite reutilizar la documentación (lo que nos permite reducir tiempo!) y por otro lado deja más claro al cliente cuales son los “perilleos” que hemos hecho en su solución.

d) Orden lógico y pasos claros: Una buena documentación debe ser escrito de tal manera de que alguien pueda partir desde cero y llegar a la configuración final. No se trata de entregar toda la receta mágica de nuestra solución, pero si dejar claro que se hizo. Para ello, una buena estructura es partir con la recopilación de requisitos de la solución, la implementación de la misma, la configuración inicial y los ajustes finales de la misma.  Y los pasos deben ser lo suficientemente claros de seguir.

e) Ojo con el lenguaje: Una buena documentación debe ser escrita en tercera persona, con buena ortografía, y un buen formato. Usando una fuente de letra clara, ojalá con alineación justificada y haciendo las referencias adecuadas a imágenes y links de información adicional.

6. Saber decir que no

Otra cosa difícil. Un buen consultor debe ser por sobre todas las cosas honesto consigo mismo y con su cliente. No debemos dejar que la porfía por encontrar una solución nuble nuestro juicio. Por lo mismo, decir “no” a una petición del cliente no implica que el cielo se abra y nos caiga el rayo de la vergüenza sobre nuestras cabezas. A veces, decir que no es una muestra clara de nuestra responsabilidad como consultores. Uno puede decir que no en varias ocasiones: Cuando encuentra que lo que se está solicitando no es acorde a las buenas prácticas, o cuando la solución que quiere implementar el cliente no es la más óptima, o cuando algo técnicamente no es posible. También es bueno y honesto decir que no cuando no sabemos algo. Un buen consultor puede prometer – en base a su capacidad de investigación – averiguar sobre lo que le están solicitando, pero decir que sí “porque sí” suele meternos más en problemas que en otra cosa.

Finalmente, también es bueno saber decir “basta”. A veces la frustración de fallar en nuestra hipótesis inicial nos hace caer en un espiral de decisiones desesperadas, empezando a retroceder en vez de alcanzar. Ahí es el momento de decir basta, darse una vuelta, tomar aire y pensar en otra cosa. ¿Cuántas de sus mejores soluciones nacieron cuando iban en el metro de vuelta a casa, masticando la rabia, o cuando ya estábamos por echar a dormir? Las mejores ideas nacen de una mente calma y no de una mente frustrada.

 

Ya se viene la parte final de mi recetario personal de un buen consultor. Nos vemos en unos días.

Read Full Post »

El recetario de un buen consultor – Parte I

Más de alguna vez me han preguntado que significa ser consultor, y aún más, que significa llegar a ser consultor senior. En lo particular, no me considero consultor senior aún, más sin embargo creo conocer parte de la receta de cocina que da como resultado un buen consultor. Estos casi dos años que llevo en mi compañía me han significado mucha experiencia, obtenida a través del enfrentamiento a las más variadas problemáticas que suelen presentarse en el “mundo real”.

En lo particular, considero que un consultor se hace de un conjunto importante de habilidades duras y blandas (conocidas en inglés como hard y soft skills, respectivamente). De hecho, el mero conocimiento de una herramienta o solución de negocios no es suficiente para autoproclamarse consultor. Aquí les doy mi receta personal de lo que yo creo que un buen consultor debe tener como ingredientes principales:

1. Sé un ratón de biblioteca (y de laboratorio)

Un buen consultor debe contar siempre con una buena base de conocimientos y recursos a los cuales poder acceder rápidamente, dependiendo de la situación a la que se enfrenta. No es obligación saberse de memoria todos los comandos y operaciones que se requieren para solucionar una problemática, pero siempre es recomendable tener información a la mano sobre la tecnología o concepto sobre el cual se esté trabajando. Es necesario recordar en este aspecto el aporte que nos entrega la universidad: dicho aporte no es en conocimientos específicos, sino más bien en la manera de pensar y de organizarse mentalmente. En el mundo de la consultoría, el proceso es parecido, y por ende el aporte que nos entregan los libros en cuanto a la estrategia para resolver problemas es muy importante.

Otro aspecto clave dentro de este punto es tener nuestro propio laboratorio. La mejor manera de probar nuestras teorías es usando nuestro propio laboratorio. Para esto, Microsoft nos provee de Virtual PC 2007, una excelente herramienta gratuita de virtualización, con la cual podemos crear un par de servidores y recrear el ambiente al cual nos estamos enfrentando.

2. El desafío de navegar entre los buscadores

No es necesario reinventar la rueda. Gran parte de la información que buscamos para solucionar un problema existe en alguna parte, y difícilmente tendremos el honor de ser los primeros en enfrentarnos a un tipo de problema en particular. Por lo mismo, es clave para un buen consultor saber buscar correctamente información que nos sea útil para sortear los problemas a los cuales no vemos enfrentados.

Para conseguirlo, es necesario seguir algunos consejos básicos. El primero de todos es usar el inglés como nuestro idioma de búsqueda. Así como el latín es el idioma de la medicina y la biología y el italiano el idioma de la música, el inglés es el idioma de la tecnología. Nuestras búsquedas serán mucho más exactas y valiosas si las buscamos en inglés. El segundo consejo es siempre privilegiar la información oficial por sobre la no oficial. Los sitios de conocimiento de los fabricantes deberían siempre ser nuestra primera fuente de información, seguido por los foros y blogs oficiales de los mismos. Y el tercer consejo es ser específico en lo que estemos buscando.  Los buscadores de internet son como los oráculos: Si nuestra pregunta es vaga, nuestra respuesta probablemente lo sea. El desarrollar la habilidad de buscar tiene mucho que ver con el siguiente punto clave dentro del set de habilidades que debe tener un buen consultor.

3. Sé como Sherlock Holmes

La capacidad de investigación es clave en el desarrollo de todo buen consultor. No en vano, pienso que un buen consultor es un tipo que “sabe consultar”, y por ende, la capacidad de buscar y recopilar todos los datos relevantes que formen parte de nuestro escenario de trabajo es clave. Un consultor siempre debe armar “la escena del crimen” antes de colocarse los guantes y colocarse a trabajar. Si no lo hace, entonces está dando palos de ciego y resolviendo el problema por “ensayo y error”. Y esto no es elegante.

El escenario siempre va a depender de la tecnología con la cual estemos trabajando, y su grado de complejidad dependerá directamente de lo mismo. Por ejemplo, no se puede enfrentar una problemática de ISA Server sin tener clara la estructura base de red del problema, la definición de los rangos y rutas IP que están en juego, ni conociendo los tipos de autenticación que se están utilizando para el servicio a ser publicado. Una fuente de investigación muy rica en todos los casos suelen ser los logs. La investigación de la naturaleza de los logs pueden entregar información lo suficientemente específica para empezar una búsqueda adecuada. Por ejemplo, es mucho más probable tener éxito al buscar un “error 0x80040e14 ISA Server 2006” que buscar “ISA Server bloquea a fulano”.

Una vez que comienza la búsqueda al igual que con Sherlock Holmes, es necesario probar cada una de las posibles teorías de lo que creamos sea la razón de nuestro problema. Para eso, generalmente es muy útil recurrir a nuestro laboratorio personal.

Ya se viene la segunda parte….

Read Full Post »