10 diciembre 2012

PCIP - Payment Card Industry Profesional


(Publicación cruzada en n+1 tiende a infinito)

El pasado mes de septiembre, el PCI SSC publicó los requisitos para su nuevo programa PCIP - Payment Card Industry Profesional es decir, Profesional de la Industria de Tarjetas de Pago que viene a cubrir el espacio que no cubren los QSA, ASV, ISA, PFI y QIR... es decir, básicamente consultoras/es que no trabajen en QSAC (compañías homologadas por el Council).

Esta credencial (que permite usar las siglas en las firmas y el logotipo correspondiente) tiene una gran ventaja y es que no depende de la empresa en la que el profesional trabaje, es decir, es personal y puede "viajar" con la persona si esta cambia de compañía, siempre que cumpla con los requisitos de renovación establecidos, lógicamente.

Fundamentalmente los requisitos para obtener la acreditación (pdf) son:
  1. Abonar la cuota correspondiente [995 USD por la solicitud]
  2. Aprobar el examen (se realiza online en las instalaciones de Pearson VUE y no se puede llevar ningún tipo de material de apoyo)  [395 USD por los derechos de examen]
  3. Tener al menos 2 años de experiencia y no haber tenido alguna conducta en el pasado que el Council considere incompatible con la acreditación.
Por cierto, si eres QSA o ISA solo tienes que cumplir con el primer punto, puesto que los restantes los has tenido que cumplir previamente.

Esto quiere decir que esta acreditación tiene un coste inicial de 1.390 USD y decimos inicial porque, si quieres recibir la formación diseñada al efecto, hay que añadir, otros 1.250 USD, es decir, nos iríamos a 2.640 USD. Por suerte, el mantenimiento no es muy caro, el mantenimiento solo cuesta 99 USD y los éxamenes de renovación (que son bienales) cuestan los mencionados 395 USD.

Para  finalizar, mencionar que el examen consta de 60 preguntas de elección múltiple, de momento, sólo en inglés y el tiempo para responderlo es de 90 minutos (1,5 minutos por pregunta).

¿Qué? ¿Os animáis?

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

24 octubre 2012

Resumen de comentarios a la versión de PCI DSS

En estos momentos nos encontramos en la etapa 6 del ciclo de vida de PCI DSS, "Feedback Review" o revisión de comentarios y el PCI Security Standard Council ha publicado un resumen de los comentarios que ha recibido (pdf) que me ha parecido interesante porque, se supone, que la nueva versión del estándar incluirá modificaciones y/o aclaraciones, sobre todo, en esos puntos.

Los puntos más comentados (suponen más de la mitad del total, el 54%) han sido los siguientes:
  • Requerimiento 11.2 [13%] - Prescribir el uso de herramientas específicas, solicitar a los ASV la realización de escaneos internos y definir que supone un "cambio significativo".
  • Alcance [10%] - Proporcionar una guía detallada para definir el alcance y la segmentación.
  • Requerimiento 12.8 [8%] - Clarificar los términos "proveedor de servicios" y "compartido" y proporcionar unos requerimientos más prescriptivos para los acuerdos escritos que aplican a los proveedores de servicio.
  • SAQs [8%] - Considerar actualizar los SAQs; son, o bien, demasiado complejos (difíciles de comprender) o bien no son suficientemente detallados.
  • Requerimiento 3.4 [8%] - Los requerimientos de gestión de clave y de cifrado son complejos; proporcionar una mayor claridad. El truncado / tokenizado / hashing no es un método conveniente para almacenar y recuperar datos; proporcionar mayor guía.
  • Requerimiento 8.5 [7%] - Considerar actualizar los requisitos de las contraseñas (expandir la autenticación más allá de las contraseñas). Los requisitos actuales sobre contraseñas son muy o poco estrictos; ser más o menos prescriptivos.
Ya veremos como queda la nueva versión del próximo verano...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

10 octubre 2012

¿Cuál es la madurez de los servicios cloud?


(Publicación cruzada con el blog de INTECO)

Pues si hacemos caso a CSA e ISACA habría que decir que se encuentran en su más tierna infancia. Efectivamente esta ha sido la conclusión del estudio que han realizado ambas organizaciones y en el que he tenido el placer de colaborar. Sobre la base de una encuesta en la que han participado 252 organizaciones de 48 países (principalmente en Norteamérica - 48% - y Europa - 23% - y usuarios de SaaS - 62%) se ha concluido que, considerando cuatro niveles de madurez (infancia, crecimiento, madurez y declive), los servicios de infraestructura y plataforma como servicio (IaaS y PaaS, respectivamente) se encuentran en la etapa inicial y los de software como servicio (SaaS) están entrando en la fase de crecimiento.

Y, aunque la conclusión es que el mercado piensa que los servicios en la nube están cumpliendo las expectativas estratégicas y de servicio y que los problemas serán superados, no es menos cierto que se identifican ciertas preocupaciones:
  • Que la computación en la nube sea considerada un aspecto técnico (una nueva versión del típico outsourcing) y que, como está pasando, sus riesgos sean analizados como riesgos tecnológicos más que como riesgos de negocio, puesto que este tratamiento limitará el potencial la nube.
  • Las dificultades existentes para especificar los riesgos técnicos y de negocio en los contratos.
  • La longevidad del proveedor.
  • La comprensión de las responsabilidades del propietario de datos y del custodio.
  • Los aspectos legales.
  • El lock-in en los contratos.
  • La disposición de estrategias de salida en caso de querer volver a un tratamiento in house o ir a otro proveedor.
  • Las regulaciones gubernamentales porque sigan una evolución muy diferente al mercado.
  • Y, en definitiva, que los usuarios necesitan confiar en los servicios por lo que los mecanismos de garantía y de transparencia deben mejorar.

Frente a esto, los participantes en el estudio también han identificado los aspectos que están siendo adecuadamente contemplados por la computación en la nube:
  • La disponibilidad
  • La continuidad del negocio
  • La recuperación en caso de desastres
  • El rendimiento del servicio
  • Los cortes en el servicio
  • La resolución de problemas

Finalmente, destacar que los factores que inciden en la toma de decisiones son, por orden de importancia:
  1. Los facilitadores de negocio (principalmente, fiabilidad y disponibilidad)
  2. Las consideraciones financieras (especialmente, la reducción de costes)
  3. La reducción de la huella en el medio

Como se puede ver, un estudio que nos ayuda a entender la situación actual, que dibuja un futuro esperanzados para la computación en la nube y que nos ayuda a identificar los retos para los próximos años… veremos si somos capaces de superarlos…

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

08 octubre 2012

¿Entran los datos de pre-autorización en el alcance de PCI DSS?

(Publicación cruzada en n+1 tiende a infinito)

El asunto de los datos sensibles de autenticación antes de la autorización de la operación siempre ha sido una cuestión delicada... básicamente, porque PCI DSS establece requerimientos para estos datos post-autorización pero deja los datos pre-autorización en una nebulosa. Concretamente, el requerimiento 3.2 reza: "No almacenar los datos sensibles de autenticación después de la autorización (ni cifrados)". 

Pero, efectivamente nada sobre estos datos antes de la autorización, por tanto, ¿qué hacemos con ellos? ¿Están incluidos en el alcance de PCI-DSS o no? 

Pues, para solventar estas dudas, como siempre, lo mejor es recurrir a la sección de preguntas frequentes del PCI Security Standard Council, en este caso al artículo 12917, que reproducimos de manera íntegra por su interés y claridad:
"Sí, PCI DSS aplica siempre que se almacenen, procesen o transmitan datos de titulares de tarjeta (CHD) y/o datos sensibles de autenticación (SAD) con independencia de que sea pre-autorización o post-autorización. No existen reglas específicas en PCI DSS sobre cuánto tiempo pueden almacenarse este tipo de datos (CHD o SAD) antes de la autorización, pero necesitan ser protegidos de acuerdo a PCI DSS. El uso de dispositivos de pago validados PTS y aplicaciones de pago validados PA-DSS pueden ayudar al cumplimiento de PCI DSS para la protección de estos datos antes de la autorización.
En relación a los SAD, el requerimiento 3.2 prohíbe el almacenamiento de los SAD DESPUÉS de la autorización, incluso cifrados. Si se permite almacenar los SAD antes de la autorización lo determinan las marcas de tarjetas de manera individual, incluyendo cualquier uso relacionado y los requisitos de protección. Adicionalmente, varias marcas de tarjetas tienen reglas muy concretas que prohíben cualquier almacenamiento de SAD y no hacen ninguna excepción. Para determinar los requisitos de las marcas de tarjetas, contacte directamente con las marcas de tarjeta directamente." 
En resumen, debemos preguntar a las marcas si se nos permite almacenar estos datos antes de la autorización y, en ese caso, qué medidas de seguridad debemos aplicarles para su protección... o como suelen decir: "Depende".

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

23 junio 2012

Lectura: "El sueño del celta"

Acabo de terminar la obra de Mario Vargas Llosa (Premio Nobel de Literatura, 2010) que cuenta la historia del héroe independentista irlandés, Roger Casement. Según el propio autor, "héroe y villano, traidor y libertario, moral e inmoral".

Como siempre después de acabar un libro, me gusta compartir las cosas que más me han llamado la atención. En este caso, hay tres fragmentos que me gustaría compartir.

El primero trata sobre esa resistencia al cambio con la que tienes que luchar algunas veces que te hace sentir como sumergido en miel... todo el mundo parece que está en línea, pero la cosa no acaba de cambiar [recuerdo alguna etapa pasada de mi vida profesional en la que me he sentido así]:
"Todo era así. Roger se sentía mecido en un remolino adormecededor, dando vueltas y vueltas en el sitio, manipulado por fuerzas tortuosas e invisibles. Todas las gestiones, promesas, informaciones, se descomponían y disolvían sin que los hechos correspondieran jamás a las palabras. Lo que se hacía y lo que se decía eran mundos aparte. Las palabras negaban los hechos y los hechos desmentían a las palabras y todo funcionaba en la engañifa generalizada, en un divorcio crónico entre el decir y el hacer que practicaba todo el mundo."
El segundo, es una reflexión del protagonista sobre la idoneidad de invertir en recuperar un idioma perdido:
"... comenzó a preguntarse si era realista, si no resultaba una quimera [...], creer que se podía resucitar la lengua que el colonizador persiguió y volvió clandestina, minoritaria y casi extinguió y convertirla de nuevo en la lengua materna de los irlandeses. ¿Era posible que en la Irlanda futura el inglés retrocediera y, gracias a los colegios, a los diarios, a los sermones de los párrocos y discursos de los políticos, lo reemplazara la lengua de los celtas? [...] Sin embargo, en la soledad de su escritorio [...], se decía que aquél era un empeño inútil. La realidad había avanzado demasiado en una dirección para torcerla [...] y querer renunciar a ello era un capricho político del que sólo podía resultar una confusión babélica y convertir culturalmente a su amada Irlanda en una curiosidad arqueológica, incomunicada con el resto del mundo. ¿Valía la pena?"
Y, el tercero, la reflexión final del propio Mario Vargas Llosa sobre la personalidad del protagonista, del héroe de su obra:
"Lentamente sus compatriotas se fueron resignando a aceptar que un héroe y un mártir no es un prototipo abstracto ni un dechado de perfecciones sino un ser humano, hecho de contradicciones y contrastes, debilidades y grandezas, ya que un hombre, como escribió José Enrique Rodó, "es muchos hombres", lo que quiere decir que ángeles y demonios se mezclan en su personalidad de manera inextricable."
... ¿todavía no me sigues en twitter.com/antonio_ramosga?

05 junio 2012

Al César lo que es del César y al cloud lo que es del cloud

Es comprensible que existan dudas en relación a nuevas tecnologías o a nuevos modelos de servicio, más aún, cuando el éxito de éstos supone una modificación sustancial del status quo.

Por si todavía teníais alguna duda, os lo confirmo, nos referimos a la informática en la nube, o el más conocido, cloud computing. Efectivamente la nube supone un cambio en la provisión de servicios TIC que, pasan de algo que se fabrica internamente a algo que se nos suministra como un servicio por un tercero, lo que conlleva el cambio de rol de los departamentos TIC de las organizaciones.

Además, la difusión del cloud computing supone la más que posible concentración de servicios en un puñado de proveedores en detrimento de muchos otros.

Por eso podemos entender, porque es humano, que pongamos el énfasis en aquellos aspectos que nos hagan pensar detenidamente antes de adoptar soluciones en la nube, para intentar mantener el status quo.

En definitiva, el cloud computing no deja de ser un caso particular de un outsourcing informático, algo que lleva con nosotros más de una decada y que se encuentra perfectamente integrado en la operativa habitual. De hecho, si analizamos cualquier estudio sobre el cloud nos encontraremos con muchos retos, amenazas... frenos en definitiva, que NO son específicos de la nube, sino comunes a cualquier proceso de externalización.

Cogiendo como ejemplo el reciente informe publicado por el ONTSI (Observatorio  Nacional de las Telecomunicaciones y de la Sociedad de la Información) sobre el estado del cloud computing en las PYMEs (pdf) que fue presentado el pasado día 28 de mayo, nos encontramos con preocupaciones que serían comunes a cualquier proceso de outsourcing:
  • Confidencialidad
  • Seguridad
  • Pérdida de control sobre los procesos
  • Dependencia adquirida con el proveedor de servicios
  • Disponibilidad de los servicios
  • Integridad de los servicios
  • Temor acerca de la falta de conexión a Internet / latencia
  • Costes del proceso de migración
  • Impacto organizativo y de adaptación y gestión del cambio del personal propio
  • Contar con modelos contractuales ajustados
  • Integración de servicios contratados
En mi opinión creo que deberíamos ser justos con el cloud computing y al analizarlo deberíamos considerar de manera diferente los frenos que son iguales que en otros casos de outsourcing de los que son más "específicos" de la nube (bien porque sólo se den en este caso o porque los exagere) como, por ejemplo:
  • Riesgo de seguridad adicional por la concentración de activos tecnológicos
  • Nueva capa en la que pueden surgir vulnerabilidades (hipervisor)
  • Riesgos asociados a la multi-tenencia
... ¿todavía no me sigues en twitter.com/antonio_ramosga?

28 mayo 2012

El Hormiguero: Concienciación en seguridad de la información

Lo reconozco: Soy fan de El Hormiguero desde sus comienzos... me ayuda a desconectar. Desde que oía la frase: "¡Relájate!"... pues eso, me relajaba y me ayuda a desconectar del día a día.

Y para mi alegría, hace un par de semanas, durante la visita de Macaco, asistimos a 90 segundos sobre concienciación en seguridad en prime time. Ya sé que es un tema muy sencillito: La necesidad de hacer copias de respaldo, pero bueno, algo es algo...

Os dejo con el vídeo. La parte interesante comienza en el 1:30...


Más vídeos en Antena3

... puedes seguirme en twitter.com/antonio_ramosga

09 abril 2012

Mi haiku

Me gustó una entrada que leí hace algún tiempo en the [non]billable hour en la que proponen a modo de haiku, un ejercicio de simplicidad para contar a lo que nos dedicamos.

Ya sabéis que un haiku es ese poema breve japonés de tres versos de cinco, siete y cinco sílabas respectivamente (definición de la Wikipedia), pero el ejercicio propuesto cambia las sílabas por palabras. En concreto, lo que nos proponen es responder a tres preguntas utilizando cinco, siete y cinco palabras, respectivamente.

Las tres preguntas que tenemos que responder para crear el haiku de lo que hacemos son las siguientes:
  • ¿A quién ayudo? (responder con 5 palabras)
  • ¿Qué hago por ellos? (responder con 7 palabras)
  • ¿Por qué me necesitan? (responder con 5 palabras)
Me ha parecido un ejercicio interesante e innovador para el típico elevator pitch, ¿qué? ¿Os animáis?

Yo os dejo aquí el mío como consultor en seguridad...
Ayudo a organizaciones con información 
a resolver problemas de seguridad en sistemas
con soluciones eficaces y eficientes
... puedes seguirme en twitter.com/antonio_ramosga

20 marzo 2012

Comentarios al Estudio de Seguridad Privada de Fundación ESYS

El pasado 29 de febrero, la Fundación ESYS presentó en el marco de SICUR su "Estudio de Seguridad Privada en España. Estado de la Cuestión 2012" (pdf). Gracias a ISACA Madrid, he tenido la oportunidad de seguir de cerca la elaboración de este estudio y me parecía interesante analizar sus conclusiones como continuación a entradas anteriores relacionadas con la convergencia de la seguridad.

Antes de entrar en materia, creo que deberíamos aclarar que tradicionalmente se consideran tres tipos de apellidos para la seguridad: la seguridad física, la seguridad de la información y la ciberseguridad. La primera se encargaría de los activos físicos (edificios, personas, instalaciones...), la segunda protegería la información en sus distintos formatos (donde los sistemas de información tienen un peso relevante pero no exclusivo) y la última se centraría en las amenazas ciber. Considero este aspecto importante porque ayuda a entender mejor la situación:
  • La seguridad de la información incluye la seguridad informática pero también ciertos aspectos de seguridad física (protección de la información en papel, protección de los servidores...)
  • Se producen ciertas áreas de solape, por ejemplo, a la hora de proteger la información en papel, ¿quién es responsable?
Por este motivo, habría preferido que en el estudio se hiciera referencia a la ciberseguridad en lugar de a la seguridad informática, creo que hubiera sido más acertado.

Entrando en materia, lo primero que llama la atención es que, al margen de los problemas que puedan existir en la seguridad física, 8 de las 14 conclusiones hacen referencia a la ciberseguridad y 2 de ellas son comunes.

En relación a estas conclusiones, me gustaría comentar lo siguiente:
  • No considero que la ciberseguridad requiera de una regulación específica, más bien la regulación en materia de seguridad debe contemplar todas sus perspectivas, no solo la seguridad física (como ocurre actualmente).
  • Coincido, por tanto, en que debe realizarse desde una perspectiva integral, pero entendiendo las diferencias que existen entre ambos ámbitos y, lógicamente, sin que ninguna perspectiva tenga ninguna prevalencia sobre la otra.
  • Se me antoja complicada la elaboración de baremos que permitan valorar la calidad del servicio prestado de manera general dadas las múltiples variantes de servicio que existen pero, bueno, es cuestión de trabajarlo, tampoco es imposible.
  • También coincido en la necesidad de contar con información estadística sobre incidentes de ciberseguridad, para que sea posible aprender y entender lo que está pasando y la evolución de las amenazas.
  • Respecto a la formación reglada, es cierto que existen múltiples posgrados y másteres en seguridad de la información por lo que el asunto no es tanto que no exista una formación reglada adecuada sino que, más bien, sea reconocida u homologada la existente.
  • Finalmente, en cuanto a la responsabilidad, no sé si debe existir una sola persona o no que aglutine toda la responsabilidad en materia de seguridad, lo que desde luego es obligatorio en el mundo actual es que ambas funciones estén coordinadas.

Por otra parte, las propuestas de actuación se han clasificado en: Marco legal, relación público-privada, profesionalidad y formación y reconocimiento social. En relación a estas propuestas, también me gustaría comentar algunos aspectos:
  • La regulación que se establezca para la ciberseguridad debe contemplar / entender las particularidades de la misma y no tratar de replicar los mismos conceptos porque es posible que algunos no tengan mucho sentido.
  • La coordinación, en caso de incidentes, entre los ámbitos públicos y privados es fundamental. En este sentido todo lo que se pueda avanzar en colaboraciones entre CSIRTs públicos y privados será de agradecer.
  • Las titulaciones oficiales no deben tratar de regular las funciones de las personas en las organizaciones (Director, Jefe, etc... ) más bien, deben centrarse como en cualquier otra práctica en garantizar unos conocimientos mínimos y luego, cada organización decidirá lo que hace falta para cada puesto.
  • Finalmente, el tratar de hacer avanzar la seguridad a través del canal de la Responsabilidad Social Corporativa lleva siendo explotado durante bastante tiempo por la ciberseguridad con unos resultados bastante escasos. Desde mi punto de vista, me parece mucho más adecuado que se integre en el ámbito de la protección civil.
En cualquier caso, me parece un primer acercamiento a la situación que vivimos actualmente y que puede servir para empezar a caminar en una mejora de la protección gracias a la colaboración entre seguridad física y lógica. Ya veremos lo que nos depara el futuro.

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

12 marzo 2012

Aplicar velocidad a la seguridad

Tras la lectura de "Velocidad" que comentamos la semana pasada, me hice la pregunta de si podrían aplicarse estos principios al mundo de la seguridad.

Y desde luego, hay una lectura que creo que puede ser de mucha utilidad para los profesionales de la seguridad. Derivado del principio de TOC de que lo que importa es la maximización del rendimiento del sistema en su totalidad y no los óptimos locales [y que, precisamente, es la causa principal del fracaso de Lean en la mencionada novela], los profesionales de la seguridad deberíamos preguntarnos si las medidas que estamos proponiendo contribuyen a un mayor rendimiento del sistema global (es decir, la organización en todo su conjunto) o si, por el contrario, nos estamos limitando a generar óptimos locales.

Es decir, tendríamos que centrarnos en la organización en su conjunto, identificar la limitación del sistema y:
  • trabajar para que dicha limitación siempre esté operativa. Es decir, implantar los mecanismos preventivos para que dicha limitación no sufra percances, pero también medidas detectivas para identificar la materialización de incidentes y, finalmente, medidas reactivas para que el impacto sea el menor posible. Lo que en terminología TOC se denominaría subordinarse a la limitación.
  • valorar las nuevas medidas en función de si contribuyen a un mayor rendimiento o a menores costes operativos o inventarios. Estas son las tres principales medidas utilizadas por TOC para la contabilidad y que, en el fondo, afectan a todas las decisiones empresariales.

En este contexto, habría que considerar que:

  • Posiblemente, la limitación no estará aislada y puede ser que se vea afectada por un fallo de seguridad de algo que, no siendo propiamente la limitación, esté conectado a ella. Por ejemplo, si la limitación fuera nuestra página web, quizás podamos tener una intrusión no directamente sobre el servidor web, sino cualquier otro sistema en la misma DMZ (por ejemplo). Por tanto, tendremos que analizar vías para reducir los elementos que pueden afectar al correcto funcionamiento de la limitación del sistema.
  • Existirá legislación que tengamos que cumplir y que, como condición necesaria para operar en un mercado haya que cumplir, con independencia de su relación con la limitación.
Por otra parte, es interesante como los principios de lean hablan de minimizar el despilfarro, como la "eliminación de todas las actividades que no son de valor añadido y redes de seguridad", es decir, que por aligerar los procesos no debemos hacerlos inseguros...


Finalmente, se pueden aplicar todos los principios lean a los procesos de seguridad que diseñemos, eliminando todo tipo de desperdicio: movimiento, sobreproducción, espera, transporte, procesado extra, corrección, inventario y el conocimiento desconectado. Pero sin olvidar que todo lo hacemos subordinados a la limitación del sistema...


¿Qué os parece el planteamiento? ¿Arriesgado?

... ¿todavía no me sigues en
twitter.com/antonio_ramosga?

08 marzo 2012

Lectura: "Velocidad"

Esta es la última obra que he leído de las novelas de gestión sobre la temática de TOC. En este caso, los autores (Dee Jacob, Suzan Bergland y Jeff Cox - el mismo que escribió La Meta) abordan la problemática de emplear a un mismo tiempo el sistema Lean, Seis Sigma y la propia Teoría de las Limitaciones.

Se trata de una obra de lectura fácil que aborda bastantes de los elementos de TOC: la multitarea en contraste con el sistema de delay, los árboles de la realidad actual y futura, la subordinación de la producción a la limitación, la elevación de las limitaciones o no... aderezada por algunas perlas como la explicación de cómo la facturación por horas es un incentivo a la ineficiencia (algo que ya hemos tratado antes por aquí).

En este caso, no tengo citas preparadas (como de costumbre) pero, a cambio, tengo un concepto que me parece que puede resultarnos muy útil: poka-yoke. Este término que se utiliza en el sistema Lean, es un término que proviene del japonés y significa literalmente "a prueba de errores". Un ejemplo claro, como nos dice la Wikipedia es el conector USB ya que no permite conectarse al revés, solo de la forma correcta.

Y, ¿por qué digo que puede ser útil? Bueno porque muchos fallos de seguridad se producen por errores y si adoptáramos la filosofía poka-yoke podríamos, en teoría, evitarlos... vamos algo así como "seguro por defecto".

Puedes seguirme en twitter.com/antonio_ramosga

05 marzo 2012

Lectura: "Buy*in"

La traducción literal del término sería la de "compra al por mayor" y el subtítulo del libro es "Evitando que tu buena idea sea abatida".

Precisamente por esto me lo compré. Para ver si me ayudaba con uno de los aspectos más difíciles que me he encontrado en mi carrera profesional: Conseguir que otros te compren tus ideas y superar la sensación de frustración que se te queda, cuando después de trabajar en un planteamiento que, a tu juicio, favorece a todo el mundo, sin embargo, no sale adelante en la típica reunión en la que todos parecen estar en contra.

Y la verdad es que, al menos me ha dado algunas pistas. En primer lugar, saber que existen, básicamente cuatro estrategias de ataque: confusión, muerte por demora, provocando miedo y ridiculizando/asesinando al personaje. Y en segundo, como se debe enfocar la propuesta de una idea:
  • No temer a los que quieren distraer.
  • Responder siempre de manera simple, directa y honesta.
  • Mostrar respeto por todo el mundo.
  • Observar la audiencia (no solo a los que te disparan) [al fin y al cabo, es muy difícil convencer a todos, solo te hace falta convencer a la mayoría más amplia posible].
  • Anticiparse y prepararse para los ataques por adelantado.
La estrategia de respuesta a los ataques que proponen los autores es muy sencilla: Capturar la atención de las personas, ganarse sus mentes y ganarse sus corazones [nada más y nada menos].

Y, para finalizar, las típicas citas:
  • "Incluso un persona inteligente o creíble, si se le hace temoroso, puede no solo oponerse a una propuesta, sino también atacarla".
  • "Algunos individuos pueden ser increíblemente hábiles para meterte en una discusión tan compleja que cualquier persona simplemente abandona".
  • "Un acercamiento de abrumar con datos y lógica [...] puede, sin querer, hacer que sea más difícil de desarrollar y conseguir la atención necesaria para que te compren la idea".
  • "Disparar de vuelta a los atacantes puede ser satisfactorio emocionalmente por unos momentos pero esa satisfacción será efímera".
  • "No desperdicies tu tiempo tratando de convertir a una minoría que está tan emocionalmente comprometida con una ideología que nunca soportará tu idea. No puedes".
  • "La mayoría de los ataques [...] tienen éxito porque nos ponemos a la defensiva y respondemos con un ataque. Y una vez que comienza una guerra, todo lo que te preocupa estará en riesgo".
Puedes seguirme en twitter.com/antonio_ramosga

29 febrero 2012

Lectura: "The Cash Machine"

Este libro, de 2004, trata sobre la aplicación de las técnicas de TOC (ya sabéis, Teoría de las Limitaciones) al proceso de ventas. Al igual que la mayoría de este tipo de obras, es una "novela de negocios" que trata, a través de una historia, de transferirnos sus conceptos en esta materia.

En resumen, TOC nos propone tres ideas básicas para el proceso de ventas:
  1. Las ventas se pueden operar como cualquier otro proceso, de manera, sistemática [de hecho, es lo que da nombre al libro, la máquina del dinero].
  2. La cadena o embudo prospecto-a-dinero en cualquier organización está intimamente relacionada. Una mala gestión de las restricciones en dicha cadena tendrá un efecto directo sobre la generación de efectivo de los negocios.
  3. El síndrome de final de trimestre no es un axioma.
Es decir, aplica los conceptos típicos de TOC (identificación de los cuellos de botella y su gestión, cadena crítica para la gestión de proyectos, drum-buffer-rope, etc.) a la gestión de las ventas.

Para finalizar, os dejo con algunas citas del libro:
  • "Tenemos que recordar la meta - hacer dinero. Las ventas, la cuota de mercado, la entrega de producto o los ingresos no son la meta. Enviar productos poco fiables es un generador de costes, no de flujos de caja".
  • "[...] el crecimiento es un resultado. Es el resultado de nuestras acciones, no su causa. Es genial cuando se produce, pero es catastrófico cuando es forzado, cuando no hay fundamentos reales detrás del crecimiento. Cuando no hay fundamentos, el crecimiento no crea valor, crea una burbuja. Y las burbujas, ya lo sabemos, tienden a explotar. Antes o después".
  • "Si fallamos en planificar bien, o fallamos en ejecutar bien el plan, es mejor pagar el precio de las consecuencias a corto plazo y reorganizarse".
  • (Sobre la multitarea) "Lo que os pido [...] es encontrar un número razonable de proyectos a hacer al mismo tiempo. Ni diez ni uno, pero quizás dos o tres. Enfocaros en ellos, acabarlos incluso si algunas veces parece que tenéis tiempo de inactividad. Una vez que hayáis decidido el número de proyectos que podéis hacer frente comodamente, !no los excedáis!"
Si trabajáis en ventas y queréis mejorarlas, creo que la aplicación de TOC os ayudará sin lugar a dudas.

Puedes seguirme en twitter.com/antonio_ramosga

23 febrero 2012

Lectura: "Macrowikinomics"

Gracias a la Fundación Telefónica (@FundacionTef) tuve la oportunidad de escuchar a Don Tapscott y además, llevarme de premio el libro... ¡todo un detalle!

Y como estoy recuperando la tradición de compartir mis lecturas [que la tenía un poco olvidada], le ha tocado el turno hoy a la "segunda parte" de Wikinomics (que ya habíamos comentado por aquí) que, como su nombre indica es la aplicación de la economía wiki presentada en su primera obra a los conceptos macro, es decir, a sectores de la economía en lo que ellos han identificado que será necesario un gran cambio para adaptarse a la nueva realidad que nos presenta Internet y este mundo tan conectado como el que tenemos.

Los autores repasan muchos temas de actualidad: el cambio climático, la educación, la salud, la investigación, los medios de comunicación, las industrias de la música y la televisión... y también, la evolución de lo público [este tema me ha resultado de especial interés y, además, coincide bastante con mis planteamientos de Democracia 2.0].

Si hubiera que ponerle un pero al libro sería su enfoque totalmente a favor de Internet y de lo 2.0, quizás estaría bien que se analizara las consecuencias que no son tan fenomenales...

Pero, en cualquier caso, para todos aquellos que estemos interesados en modelos de negocio y en el efecto de Internet en nuestra sociedad es una obra necesaria, por lo menos, a mi entender.

Antes de dejaros con las habituales citas, solo destacar la gran importancia que dan los autores a la transparencia como herramienta de control, habilitador de nuevos modelos y driver de la 'wikieconomía'.

  • Las instituciones que se establecieron a raíz de la II Guerra Mundial [...] no son ya las adecuadas para ayudar a reconstruir la economía global o las nuevas formas de gobierno sostenibles.
  • La innovación colaborativa puede tener aspectos negativos, incluyendo ajustes duros para las industrias cuyos modelos de negocio estaban basados en escaseces que ya no son tales.
  • No podemos confiar solamente en la competencia y la persecución de la ganancia económica a corto plazo para promover la innovación y el bienestar económico.
  • Dado que la Web reduce los costes de transacción y colaboración, el talento puede estar dentro o fuera de las firmas.
  • Después de todo, las ideas y la tecnología no cambian el mundo; la pasión, el apoyo de la comunidad y la ejecución, sí.
  • Enseñar a los jóvenes como escrutar, validar y poner las cosas en contexto estará entre las tareas más difíciles para los educadores. Por otra parte [...], habiendo crecido en una cultura de millones de correos falsos, timos e intentos de engañar, han aprendido que, o comprendes el entorno o pagas el precio.
  • Internet es el reflejo y también un amplificador de todo en la sociedad.
  • Dar valor al consumidor, no control, es la respuesta en la economía digital.
  • La televisión está en la senda de convertirse en una de las muchas aplicaciones atractivas de la Web.
  • La gente prefiere alquilar bits que comprar átomos.
  • En la primera oleada de democracia se establecieron instituciones elegidas y responsables del gobierno, pero con un mandato público débil y una ciudadanía inerte; la segunda oleada estará caracterizada por una representación fuerte y una nueva cultura de deliberaciones públicas construidas sobre una ciudadanía activa.
  • Quizás necesitemos un nuevo modelo de legitimidad. No debemos olvidar que los líderes en la mayoría de los países democráticos rigen con el apoyo de menos de un cuarto de la población.
  • Más que asumir que la autoridad para actuar en nombre de la población se deriva solamente de un mandato electoral de cuatro años, la legitimidad podría ser ganada por cualquier organización abierta a la participación pública y suficientemente transparente en sus objetivos, operaciones y progresos.
  • El mundo conectado simplemente crea nuevas posibilidades. Pero su potencial para desencadenar lo bueno y lo malo solo puede ser realizado por personas que actúan con libertad y con capacidad de elección.
  • Necesitamos un nuevo tipo de líderes en la industria que [...] vean la mejora del valor para los accionistas como complementario a mejorar el estado del mundo y que entiendan que los negocios deben operar con un nuevo conjunto de principios.


Puedes seguirme en twitter.com/antonio_ramosga

20 febrero 2012

Seminario "Risk, Agility and Information Security"

Tras las entradas que escribimos allá por el mes de noviembre tituladas "Risk and Agility" (en dos partes: uno y dos) y que dio lugar incluso a una entrada en el blog de ISACA, Mario (@nodosenlared) y un servidor hemos seguido trabajando sobre el concepto, hasta llegar a desarrollar el seminario que os quiero comentar.

Lo hemos titulado "Risk, Agility and Information Security" y se impartirá, por primera vez, en Pamplona el próximo 27 de marzo, en la sede del CEIN. Lo hacemos allí por el apoyo que nos brinda esta institución y por su apoyo a todas las iniciativas ágiles, especialmente en el mundo del emprendimiento [de esto os puede contar mucho más Mario].

Aunque en los enlaces anteriores, tenéis toda la información, me gustaría destacar que contaremos con un ejemplo magnífico de la mano de David Barroso (aka @lostinsecurity), que creo que no precisa de presentación, ¿verdad?

También me gustaría resaltar que hemos pensado tres tarifas, en función del momento en que se realice la inscripción:
  1. Innovators - 350€ (hasta el 21 de febrero)
  2. Early adopters  - 400€ (hasta el 12 de marzo)
  3. Majority - 450€
Finalmente, también me gustaría destacar el enfoque eminentemente práctico del seminario: El objetivo que nos hemos marcado es que los asistentes se lleven una serie de herramientas que les ayuden en su tarea del día a día.

En el seminario analizaremos los fallos de los enfoques predictivos, cómo podemos adaptarnos mejor a los cambios que se producen, cómo podemos incluir los principios ágiles en la gestión de la seguridad y cómo todo ello se traduce en unos sistemas más resilientes.

Estamos convencidos de que la propuesta, además de innovadora, refleja la evolución que ha tenido la seguridad de la información, como podremos ver a lo largo de todo el seminario, aunque nuestros métodos y procesos se están quedando un poco retrasados... ¿no os llama la atención?

¡Os espero en el seminario!

... puedes seguirme en twitter/antonio_ramosga

10 febrero 2012

Principios básicos para el uso de la computación en la nube


Cuando nos planteamos (o nuestra organización se plantea) llevar alguno de nuestros servicios a la nube nos surgen muchas dudas y es evidente que no es una decisión trivial. Por este motivo, ISACA publicará en breve un documento titulado "Guiding Principles for Cloud Computing Adoption and Use" en el marco de su serie sobre la visión de la computación en la nube.

Como todavía queda algún tiempo hasta su publicación, pero he tenido la suerte de participar en el grupo de trabajo que lo ha elaborado, me gustaría compartir las principales recomendaciones recogidas en dicho documento.

La idea es ayudar a aquellos en el proceso de "pasarse a la nube", de forma que el cambio en la manera en la que la tecnología es adquirida y gestionada en las organizaciones y las presiones que esto supone normalmente sobre la estructura de la organización, la cultura, las políticas y procedimientos sean lo menor posible.

Para ello, se proponen seis principios para la adopción y uso de la computación en la nube que guiarán a los directivos afectados de forma que la implantación de esta nueva manera de provisión de servicios TIC produzca las menores presiones y áreas potenciales de riesgo posibles.

Los seis principios propuestos por ISACA son los siguientes:
  1. Capacitación. Planificar la computación en la nube como un facilitador estratégico más que como un acuerdo de outsourcing de una plataforma técnica. 
  2. Coste beneficio. Evaluar los beneficios del uso de la nube basándose en una comprensión completa de los costes de la nube comparados con otras plataformas tecnológicas. 
  3. Riesgo empresarial. Adoptar una perspectiva de riesgo empresarial para gestionar el uso de la nube. 
  4. Capacidad. Integrar toda las capacidades que los proveedores ofrezcan con los recursos internos para ofrecer una solución técnica exhaustiva. 
  5. Responsabilidad. Gestionar la responsabilidad mediante una definición clara de lo que corresponde al proveedor y a nosotros como usuarios. 
  6. Confianza. Hacer de la confianza un elemento esencial de las soluciones en la nube, incorporándola en todos los procesos de negocio que dependen de la nube.
(Cross-posted con el blog de INTECO)

Puedes seguirme en twitter.com/antonio_ramosga

04 febrero 2012

Lectura: "El viaje al poder de la mente"

Suelo leer las obras que va publicando Punset, es como una tradición... Y esta obra, en particular, me llamaba la atención, aunque tras leerla tampoco creo que sea de sus mejores. Quizás se deba a que me voy acostumbrando y no existe factor sorpresa.

Lo que más me ha llamado la atención han sido las reflexiones relacionadas con la toma de decisiones y los sesgos que tenemos a la hora de pensar en el futuro. Explica muchos de los problemas que me encuentro, sobre todo, en relación a la gestión de los riesgos.

Como es habitual, os dejo con mi colección de pasajes favoritos:
  • "Al contrario que los primates sociales más evolucionados, no queremos cambiar de opinión ni que nos maten. No sólo somos incapaces de predecir, sino que tendemos a imaginar el futuro calcando el pasado. No hemos querido aceptar que las intuiciones son una fuente de conocimiento tan válida como la razón"
  • "Las especies que han sobrevivido en el tiempo geológico son las que supeditaron los intereses básicos del individuo al cuidado y la supervivencia de su propia especie".
  • "Muchas personas toman decisiones no en función de lo que ven, de lo que consideran bueno o malo, sino en función de lo que creen, de sus convicciones (código de los muertos: pautas de conducta excelente hace miles de años, que han dejado de ser útiles y que, no obstante, siguen vigentes)"
  • "Los humanos también pueden cambiar de opinión, pero odian tener que hacerlo".
  • "La ignorancia parcial puede ser útil, y siempre sucede así cuando, en el mundo real, el reconocimiento del nombre está correlacionado con lo que se quiere saber (En ocasiones decidimos mejor con poca información)"
  • "Es tremendamente importante entender que las personas hacen cosas terribles no siempre porque sean malas, sino porque no quieren romper las reglas"
  • "Se toman mejores decisiones cuando se recurre a una sola y buena razón, en lugar de a diez".
  • "En promedio, los individuos tienden a creer que la pérdida de su puesto de trabajo, de su salud y hasta de la muerte afectará primero a los demás que a sí mismo."
  • "Las moléculas de nuestras emociones comparten conexiones íntimas con nuestra fisiología, de la que son inseparables. Las emociones son, ni más ni menos, lo que une la mente y el cuerpo".

Puedes seguirme en twitter.com/antonio_ramosga

23 enero 2012

Análisis "Blueprint for a Secure Cyber Future"


Desde que se publicó en noviembre del año pasado, tenía en el "to do" este documento del Departamento de Seguridad Nacional de los EE.UU. (DHS) en el que se define la Estrategia de Ciberseguridad (pdf).

Aunque es un documento de 50 páginas, se queda en 25 sin los apéndices, por lo que es bastante asequible.

En la imagen adjunta podéis ver un pequeño mapa mental que he ido preparando mientras lo leía (si alguien lo quiere, no tiene más que pedírmelo).

Esta estrategia de ciberseguridad deriva directamente de la Estrategia de Seguridad Nacional publicada por el Presidente Obama (pdf) y del hecho de que proteger el ciberespacio sea una de las 5 áreas en las que se organiza la misión de la seguridad nacional.

Toda la estrategia parte de una visión que transcribo porque es bastante ilustrativa: "Nuestra visión es un ciberespacio que supone una infraestructura secura y resiliente que permite la innovación y la prosperidad y que protege por diseño la privacidad y otras libertades civiles. Una infraestructura en la que podemos usar el ciberespacio con confianza para avanzar en nuestros intereses económicos y mantener la seguridad nacional en todas las condiciones".

Esta visión se traduce en dos áreas de acción: Proteger nuestra Infraestructura de Información Crítica HOY y construir un ciber-ecosistema más fuerte para MAÑANA [hay que ver cómo me suena esto a los típicos objetivos que se establecen con TOC].

Cada área de acción conlleva una serie de metas, en total 8, repartidas a partes iguales entre las dos áreas:
  • Proteger nuestra infraestructura de información crítica hoy:
    • Reducir la exposición al ciber-riresgo
    • Asegurar una respuesta prioritaria y la recuperación
    • Mantener una conciencia compartida sobre la situación
    • Mejorar la resiliencia
  • Construir un ciber-ecosistema más fuera para mañana:
    • Capacitar a los individuos y a las organizaciones para operar de manera segura
    • Construir y utilizar protocolos, productos, servicios, configuraciones y arquitecturas más confiables
    • Construir comunidades colaborativas
    • Establecer procesos transparentes
Finalmente cada uno de estas metas se desarrolla en objetivos, generando un total de 20 que conllevan el desarrollo de toda una serie de competencias básicas que debe llevar a cabo el DHS.

Algunos aspectos que me gustaría destacar:
  • Que desde el comienzo se reconoce que el objetivo de un ciberespacio más seguro es compartido y que el Gobierno, por si solo, no puede lograrlo.
  • El respeto a la privacidad y los derechos civiles desde el propio enunciado de la visión.
  • El equilibrio entre proteger lo de ahora y mejorar el futuro.
  • La descripción detallada del rol del DHS que figura en el apéndice A del documento.
  • El peso que tienen las infraestructuras críticas y su protección [¿será un preludio del peso que tendrá el CNPIC en España en el futuro?]
  • Finalmente, que cuando lees el documento encuentras en muchos apartados la referencia a mecanismos ágiles de gestión (automatización, capacitación de los usuarios, propiedad compartida, rapidez de puesta en marcha...) que nos llevan a pensar que la agilidad y la seguridad cada vez van a estar más unidas [en lugar de opuestas, como piensan algunos].
Puedes seguirme en twitter.com/antonio_ramosga

01 enero 2012

Resumen del 2011 de Carpe Diem

Cuando faltan unos días para el sexto aniversario del blog (el 18 de enero), voy a continuar con la tradición comenzada el año pasado de revisar las visitas durante el año que acaba de terminar.

El primer dato es el número de visitas: 6.569 (prácticamente un 26% más que en 2010), lo cual no está nada mal, considerando que solo he escrito 21 entradas (menos que nunca). Y no es que escriba menos, sino que estoy "compartiendo" mi actividad bloguera con n+1 (23 entradas), leet security (4 entradas) e INTECO (2 entradas); así que, en total, han sido 50 entradas en el año.

El top 5 de entradas consultadas en 2011 han sido:
Y las entradas de 2011 más vistas han sido:
Finalmente, la mayoría de los 4.753 visitantes siguen siendo de España (un 68%), lo que significa que han aumentado a un 32% los que me visitáis desde el extranjero (por orden de magnitud): México (343), Argentina (194), Colombia (187), Perú (107) y el resto ya con menos de 100 visitantes (Chile, Estados Unidos, Venezuela, Ecuador, Reino Unido...)

Puedes seguirme en twitter.com/antonio_ramosga