01 diciembre 2007

La importancia de leer este blog

Como todos los que me leéis, habréis observado, considero que el panorama laboral ya no es el que era y que ha pasado a ser algo así como una UTP (Unión Temporal de Personas) con un objetivo común.

Pues bien, la semana pasada me llevé una gran sorpresa pues una persona a la que estaba haciendo una entrevista para que se incorporara al proyecto en el que estoy implicado en S21sec, me comentó que ¡¡¡¡¡¡¡ leía mi blog !!!!!!! Os podéis imaginar mi sorpresa: "Pero, si hay alguien que se lo lee (aparte de los que presiono para que lo hagan ;-)" En fin, toda una revelación...

Evidentemente a Z.V. le hice una oferta y va a empezar a trabajar con nosotros; se incorpora al proyecto... No puedo más que darte la enhorabuena y las gracias...

P.D.: ¿Querrá eso decir que todos los que leen este blog pueden incorporarse al proyecto en el que estoy yo? No lo sé, sería cuestión de probarlo aquí o aquí.

Anticipo sobre la visita de Bruce Schneier a España

Tuvimos la suerte hace unos días de poder escuchar al gran Bruce con motivo de su intervención en las II Jornada Internacional del ISMS Forum Spain. Estoy preparando un post que resuma correctamente lo que nos contó, algunas cosas nuevas otras más habituales en su repertorio, pero, como siempre, muy, muy interesante.

En cualquier caso, hay 2 reflexiones rápidas que me surgen en relación a su intervención:
  1. La marca 'Bruce Schneier', en lo relativo a la seguridad de la información, está por encima tanto de la que era su propia empresa (Counterpane) como de la que lo es ahora (BT).
  2. Bruce también hace gala de un buen nivel de comprensión de la importancia de "vender" lo que pasa por su cabeza: Hay que esperar cerca de un año para poder contar con él, cada charla en la que interviene se paga a precio de oro, nunca (NUNCA) acompaña sus intervenciones con ningún tipo de presentación (solo una notas impresas en un hoja de papel que guarda con prudencia) y "reutiliza" siempre que puede sus ideas para sacarles un mayor beneficio... Todo esto acompañado de unas buenas dotes de comunicador, hacen que (sin entrar a valorar el contenido) Bruce domine como pocos el arte de "vender" su conocimiento.

25 noviembre 2007

Vender el conocimiento

Todos los que nos dedicamos a esto de la Consultoría sabemos lo difícil que resulta romper el hábito existente de la facturación por horas. Como si lo que estuviera contratando el cliente fuera mi tiempo... Si fuera así, dejaría pasar el tiempo como dicen por el norte: "sin más".

En un post de hace algún tiempo, Mario abogaba por "sacar el conocimiento de la cabeza y ponerlo en algún otro soporte" (o algo así) y esto ha sido lo que se me ha venido a la cabeza al leer la noticia que publica Cinco Días relativa a las ganancias (233.000 euros) de la sociedad de la familia Aznar que se dedica a la "explotación de los derechos de propiedad intelectual en todas sus manifestaciones". Supongo que no es noticia ni por la cuantía, ni por el tipo de sociedad, sino simplemente porque se trata de Aznar...

A mi, al margen de todas las connotaciones existentes, me ha parecido inteligente... como dicen por ahí, "sin más", hay que aprovechar la marca personal...

Buenas noticias para "mi" libro

Mira por dónde, se han juntado en poco tiempo dos aspectos a destacar sobre el libro en el que participé relativo al Gobierno de TI (aquí).

Por una parte, mi empresa se ha hecho eco de su existencia y, por otra, comentado con Fernando la semana pasada durante la Asamblea anual de ASIA, me dice que, es muy probable que el libro aparezca dentro del book store de ISACA.

Vamos... todo un éxito...

21 noviembre 2007

Y reflexiones sobre la Gestión de Riesgos

Y para acabar la serie sobre reflexiones en eventos (bueno, es mentira, me queda otra todavía, pero por hoy ya hay bastante...), dos muy breves sobre el organizado por ENISA conjuntamente con INTECO, los días 8 y 9 de noviembre en Barcelona sobre la gestión de riesgos y su aportación al negocio.

Lo primero que he de decir es que, aunque casi todos los asistentes fuero de primer nivel y contaron cosas interesantes, no se centraron en lo que yo creo que era el objetivo del evento: Reflexionar sobre como enlazar el análisis de riesgos con el negocio; una lástima, porque oportunidades así no son fáciles de conseguir.

Y lo segundo, las dos ideas que saqué de las jornadas:
  1. De la reflexión de la responsable de sistemas de Alphamed, como PYME austriaca que se está beneficiando de un programa de ayuda en seguridad que existe en dicho país, en el que recalcó sus sensaciones en relación a la seguridad.
    Básicamente, las PYMEs están desorientadas y desvalidas: No saben lo que necesitan y necesitan a alguien que les aconseje lo que realmente necesitan y que no les quiera "vender" nada... Eso me hizo darme cuenta que deben contar con un consultor a un precio que les resulte razonable (habrá que investigar en esta línea).
  2. "Act diligently as a prudent businessman because every company is liable for negligence". Es decir que la seguridad es un acto de responsabilidad corporativa... y si actúas de manera negligente posiblemente acabarás sufriendo las consecuencias. Supongo que, en la medida en la que el coste de la no-seguridad sea más evidente y más probable, las decisiones en este ámbito se volverán más lógicas.

Reflexiones en el Information Security Forum

El pasado día 7 de noviembre asistí al Executive Briefing que el Information Security Forum organizó en Madrid y que alojó amablemente el BBVA como uno de sus 5 miembros españoles (junto con Caja Madrid, la Caixa, Repsol YPF y Telefónica).

Como en casi todo este tipo de eventos, había más proveedores que clientes finales (pobrecitos aquellos que se piensan que en este tipo de "saraos" se puede hacer "labor comercial") y algún que otro medio. Esto es lo de menos. Lo importante fue, por una parte, la buena sensación que me dejó el ISF, como asociación y, por otra, dos reflexiones que me surgieron escuchando a los ponentes y que me gustaría compartir:
  1. En primer lugar, la importancia que dieron a todo lo relacionado con la estrategia (de hecho, fue la parte que me resultó más interesante). Si alguna vez me habéis leído, sabréis que es una de las áreas en las que vengo trabajando más intensamente porque creo que es un gran déficit actualmente y que los Planes Directores de Seguridad no están abordando correctamente.
    De hecho, se comentó que "solo un 25% de los miembros del ISF tienen una estrategia de seguridad definida" y eso que, se supone, que son organizaciones pioneras que están interesadas y preocupadas por la seguridad, así que imaginemos lo que puede ser en el resto. Este dato, solo hace que animarme en la línea de trabajo iniciada con Mario para alinear la seguridad con la estrategia de negocio.
    Me gustó (aunque me parece un poco simplista) la definición de la estrategia de seguridad considerando tres tareas principales: dar soporte al negocio, defenderse de las amenazas externas y "raise the profile". En fin, ya le daremos vueltas...
  2. El otro aspecto deriva de un comentario que suscitó cierta polémica en relación al cumplimiento con leyes y otras disposiciones. Básicamente lo que se vino a decir por un asistente fue que las leyes se equivocaban al decirnos cómo teníamos que hacer las cosas en lugar de qué teníamos que conseguir. La verdad es que, filosoficamente, podría estar de acuerdo pero, ¿cómo se define de manera concreta e inequívoca lo que tenemos que conseguir? No hace falta que os recuerde aquello de que los objetivos han de ser S-M-A-R-T.
    La verdad se me hace muy complicado definir la seguridad de manera "elegante".

17 noviembre 2007

A vueltas con el estándar PCI-DSS

No sé por qué, últimamente me ha dado por darle vueltas al tema de PCI-DSS (ya sabéis que he escrito ya sobre este tema aquí y también aquí)... Eso ha provocado 2 posts en el blog de mi empresa. Os incluyo el enlace por si os interesa el tema:
  • El primero para acabar de aclarar el tema de los primeros en homologarse QSA y ASV.
  • El segundo haciendo una reflexión sobre las dificultades que están experimentando las marcas para que se cumpla con el estándar es España y cómo enfocar el cumplimiento desde la perspectiva de un comercio.
¡Feliz lectura!

14 noviembre 2007

El terrorismo e Internet

Ya comentamos hace unos días que no se puede culpar al intermediario, y es obvio que Internet no es más que un canal que sirve para dar rienda suelta al carácter de los usuarios.

No obstante, una vez dicho ésto, también es obvio el hecho de que Internet es el canal de comunicación más potente, barato y universal que hayamos conocido y eso es un potencial de uso increíble para lo bueno y para lo malo. Eso da lugar a iniciativas, como la del Comisario de Justicia de la Unión Europea, Franco Frattini, encaminada a eliminar todo lo que tenga que ver con terrorismo en Internet.

Aunque sea una iniciativa loable, va a ser difícil de lograr mientras no se consiga una posibilidad de supervisión, regulación de delitos tan potente y universal como el propio canal además de solventar la problemática del anonimato (en otro momento podemos hablar también de las iniciativas en este sentido). De todas formas, lo más peligroso suele estar oculto (os recomiendo este artículo de mi amigo David).

Rosa tiene un blog

Sí, Rosa tiene un blog y no es mi madre (que también se llama Rosa)...

La verdad es que me da un poco de envidia. Primero porque ha conseguido 115 comentarios en su primer post y ni se sabe cuantos lectores, casi igual que yo...

Y segundo porque ha reunido a unos cuantos de "maestros blogueros" para que le den consejo y le ayuden con esta aventura...

En fin, espero que le resulte más fácil que a mi mantener la continuidad...

24 octubre 2007

El tráfico y TOC

En teoría no está bien, pero es la verdad: No voy a decir nada nuevo, de este tema ya habló Mario hace algún tiempo, de hecho solo es una curiosidad.

Paso habitualmente por la A5 (ya he comentado que vivo en Móstoles) y el otro día me he dado cuenta de que han bajado el límite de velocidad de 80kms/h a 70kms/h en la zona de Batán. Pensando en la justificación de este cambio, se me vino a la cabeza el comentario de Mario y las posibilidades que nos proporciona TOC para gestionar el tráfico como flujo que es. En mi super-razonamiento, pensé: "Claro, como el límite de velocidad en el túnel que lleva a la M-30 es de 70kms/h han reducido el límite de velocidad en los kilómetros previos para evitar las retenciones que se producen en ese punto derivado del hecho de que hay que pasar de 80 a 70kms/h".

¡¡¡Seré iluso!!! ¡¡¡Seré ignorante!!! En realidad, lo que ocurre es que los vecinos de la zona (Batán) se han quejado del exceso de ruido en esos kilómetros y han pedido al Ayuntamiento que aplique los límites de velocidad correspondientes a una vía urbana y reduzcan dicho límite de velocidad.

De todas formas, ha venido bien: Espero que ahora no se produzcan tantas retenciones en ese punto puesto que el flujo de tráfico no tiene que reducirse; bueno, en realidad se producirá unos kilómetros más allá, en concreto a la altura del Hipercor de Alcorcón que es dónde ahora empieza la nueva limitación...

La culpa no es del mensajero (aka. Internet no es fuente de todo mal)

Acabo de leer que el Jefe del Grupo de Delitos Telemáticos de la Guardia Civil (con el que he tenido oportunidad de charlar en otros encuentros) ha hecho unas declaraciones en las que viene a decir que la pornografía infantil pervive por culpa de Internet.

Lo primero que he de decir es que estoy seguro de que habrá dicho muchas cosas más, y entre otras (como bien aclara el texto del artículo), ha dicho que es El Canal (con mayúsculas) para cometer este delito. ¿Por qué? Bueno, no se trata de comentar ahora todo lo que permite Internet, pero lo que está claro en mi opinión, es que Internet no es más que un medio, una herramienta, y que si hay que culpar a alguien es a los pedófilos, a nadie más.

Culpar a Internet de la pornografía infantil es como culpar a los vehículos de las muertes en carretera, lo siento pero no estoy de acuerdo. Sería una reflexión demasiado simplista y eso que, si no existieran vehículos no se producirían esas muertes (?)...

En cualquier caso, es preocupante que sigamos después de tanto tiempo dando tanta importancia a las consecuencias de la existencia de Internet... Internet lo único que hace es facilitar las comunicaciones y, en ese sentido, favorece tanto las que nos agradan como las que nos disgustan. Por favor, ¿por qué nadie se pregunta cuál es el fraude con tarjetas de crédito en el mundo "offline"? Si tuviéramos la cifra, estaríamos escandalizados...

Pero supongo que lo importante es "vender" noticias y crear titulares atractivos... en fin... que le vamos a hacer.

Por cierto, mi enhorabuena al mencionado Grupo de Delitos Telemáticos por su labor diaria en la persecución del crimen telemático...

21 agosto 2007

El coste de la no-seguridad

Como sabéis, comparto la idea de Schenier de que la seguridad es una inversión que se valora con las mismas reglas que el resto de inversiones en el mundo empresarial y que, por tanto, para "merecer la pena", ha de contar con una buena tasa de retorno. En definitiva, que o la inseguridad (no-seguridad) tiene coste o las inversiones en seguridad nunca merecerán la pena para las organizaciones.


Para mí, es evidente que la no-seguridad tiene un precio que es muy parecido al slogan de MasterCard y que vendría a decir: "Mantener un firewall cuesta 1.000 euros al mes, salir en la prensa por un incidente de seguridad no tiene precio", y sino que se lo preguten a los responsables de Verus Inc., una empresa americana que daba soporte TIC a hospitales y que se ha visto obligada a cerrar después de un error que provocó que se hicieran públicos los datos de 5 hospitales durante los meses de abril y mayo.
De lo que no estoy tan seguro es de si los responsables de las organizaciones son conscientes de esta circunstancia o si, siendo conscientes, lo consideran un hecho tan poco probable que hace mejor destinar los fondos a otros menesteres (espero que nunca a su retribución, sino a inversiones para garantizar la consecución de mejores resultados en el presente y en el futuro o sino, para retribuir a sus accionistas y trabajadores...)
Por cierto, a TJX (lo recordaréis, les robaron datos de 45,7 millones de titulares de tarjetas) les ha costado por ahora, 118 millones de dólares, reduciendo su beneficio en el segundo trimestre de 2007 en un 57%.

Estilos de dirección. ¿Cómo ser un buen jefe?

Leyendo la prensa de estos días, me ha llamado la atención un par de artículos aparecidos en Cinco Días que siguen a vueltas con una de las grandes preocupaciones de estos tiempos (y que lo será aún mayor en el futuro): Las relaciones laborales en la empresa y las dificultades de contratación.
El segundo tema ya lo comentamos unos días atrás, pero sigue siendo noticia, ahora relacionado con otros sectores tradicionales ("panaderos, pasteleros, empleadas de hogar, camareros o pastores" según relaciona el propio diario) y siempre, debido a lo mismo... esos sectores no son atractivos para el empleo y dada la escasez de oferta, buscan otros sectores más atractivos (por lo menos, a priori).
No obstante, no es solo un tema de sectores, también tiene que ver con la forma de trrabajar en la empresa en la que nos ofrecen el puesto y, como no, el estilo de dirección del jefe. Como comentaba en la entrada anterior relativa a las dificultades de contratación, se valoran el buen ambiente laboral, la responsabilidad, la autonomía y, claro está, también el dinero. Pero, esto no es más que el reflejo del estilo de dirección del jefe. Según el artículo relativo a la encuesta de Cátenon, los españoles valoramos que nuestro jefe sea un buen líder, que sea cercano, sepa comunicarse y fomente el trabajo en equipo, y además, debe ser capaz de delegar y ser honrado y humilde.
Como muy bien se resume, las actitudes profesionales pasan a un segundo plano por detrás de las personales ("que sea cercano").
La verdad es que, leyendo esto, si reflexionamos sobre lo que se busca, aquellos que somos jefes o medio-jefes tenemos un reto por delante que impresiona, pues no solo debemos responder profesional, sino también personalmente. Quizás esto podría causar cierto rechazo en algunos que podrían pensar en que solo se debería valorar lo profesional, pero es a lo que me refiero cuando digo que el paradigma ha cambiado: Antés podría ser cierto que lo profesional era lo importante, pero hoy en día, sobre todo cuando prima el trabajo en equipo y la retención del talento, el jefe ha de ser un ejemplo para el equipo y sus valores han de ser los apreciados por sus miembros.
Recapacitando sobre esto, he recordado algo que leí hace algún tiempo sobre una idea radical de Julen: Sin gerencia. Lo cierto es que no tengo ni idea de cómo sería, pero tampoco se me antoja tan descabellada... por lo menos, otra organización ha de ser posible (ver "coalición de consultores" o Agile Consulting, las entradas de Mario).

16 agosto 2007

El DNI digital ya está aquí, pero ¿cuándo el pasaporte?

Esta mañana he tenido una experiencia religiosa: He intentado sacarme el pasaporte. Y os preguntaréis, ¿por qué nos lo cuentas ahora? Pues porque es el tiempo que ha tardado en quitárseme la cara de bobo que se me ha quedado cuando he sido el primero que de la fila que se ha quedado sin su pasaporte después de estar en la cola desde la 8:15AM. ¿Qué por qué? Muy sencillo, porque resulta que en la comisaría de Móstoles solo expiden 45 (¡¡cuarenta y cinco!!) pasaportes al día y yo era el 46 (en realidad, el 51, porque hoy han decidido que podían expedir 50). Así dicho carece uno de magnitudes relativas para comparar, así que voy a dar algunas:
  • Móstoles tiene una población (según el padrón de 2006 realizado por el INE) de 206.301 habitantes.
  • Alcorcón (su municipio vecino al que da servicio también la comisaría de Móstoles porque la de Alcorcón esta... ¡¡¡cerrada por obras!!!) tiene, según la misma fuente, 164.633 habitantes.

Es decir, que para satisfacer las posibles necesidades de, aproximadamente 371.000 habitantes, tenemos 45 pasaportes... esto es un 0,012% de la población. En unas fechas en las que pensamos en viajar y en las que, una de las opciones es salir al extranjero... Sin comentarios: Luego dicen que los españoles este año hemos salido menos al extranjero; ¡caray!, con estas facilidades... ¡¡no lo entiendo!!

De todas formas, ahí no acaba la cosa. He intentado tener suerte en la comisaría de Aluche (en la antigua cárcel de Carabanchel) y... ¡oh, sorpresa! En ésta, solo dan 20 números al día (¡¡veinte!!). Una amable chica que estaba lista para entrar en el momento de nuestra ignorante pregunta nos ha informado que ella estaba en la cola esta mañana a las 6.00AM (¡casi me da un síncope!). En este caso, tenemos que el barrio de La Latina (según la información del área de Estadística del Ayuntamiento de Madrid que data de 2001) tiene 249.049 habitantes. Si hacemos la misma proporción, tenemos que esos 20 pasaportes al día suponen un 0,008% de la población del distrito.

En ambos casos, suponiendo 220 días hábiles tendríamos que:

  • En Móstoles, se podrían expedir 9.900 pasaportes, un 4,798% de su población.
  • En Aluche, la cifra sería de 4.400, un 1,767% de la población de La Latina.

Además, todo aderezado con una cultura de servicio al ciudadano: No se puede pedir cita previa por teléfono, no hay información disponible en la web... pero, sobre todo: SI TENEMOS UN DNI ELECTRÓNICO O UN CERTIFICADO DIGITAL RECONOCIDO POR EL MINISTERIO DE INDUSTRIA QUE DICE QUIÉNES SOMOS, ¿POR QUÉ NO PUEDO HACER EL TRÁMITE ELECTRÓNICAMENTE?

En fin, espero que algo tan fácil como este trámite se incorpore a la eAdministración. De momento, si quiero viajar, el próximo día me tendré que levantar a las 6 de la mañana para no quedarme con un palmo de narices y sin pasaporte.

10 agosto 2007

En todos los sitios cuecen habas. Robo de datos en Noruega

Dado que ahora tengo que compaginar mi labor como blogger entre este, mi blog y el de mi empresa... Por si alguno lee el mío (de momento, no sé si habrá alguno que me siga), no quería dejar pasar la oportunidad de la noticia publicada hoy en El Mundo sobre el robo de datos en Noruega.

Para los que queráis seguir leyendo, os remito a mi entrada en mi "otra casa".

El caso es que, aunque a veces nos parece que en este país somos lo peor... no siempre es así, algunas cosas las hacemos muy mal pero, en otras ocasiones, nos pasa lo mismo que a todo el mundo.

Algunas preguntas que no buscan respuesta: ¿Qué sanción habrá para la Agencia noruega de protección de datos? ¿Invertirá el ISP ahora más en seguridad? ¿Cómo se compensará a los afectados (siempre nos olvidamos de que, en caso de que ocurra incidentes, hay que tener pensado mecanismos para la gestión de las crisis)?

09 agosto 2007

S21sec abre su blog

Después de revisar la reciente entrada, me doy cuenta de que hacía más de un mes que no publicaba... soy un vago.

Si sirve como excusa voy a decir que entre tanto, mi empresa ha decidido (después de darle algunas vueltas, no creáis) que debía tener también su blog (el tema del 2.0, ya sabéis...) y, tras un período de prueba, finalmente lo ha hecho publico: blog.s21sec.com.

Además, hace unos días, allí he publicado una relfexión sobre el outsourcing de la seguridad que puede ser útil a los que se estén pensando ese tema o que se encuentren con problemas organizativos para mejorar su nivel de seguridad (cuando lo leáis, entenderéis a qué me refiero).

Otro reto: La dificultad en la contratación.

Desde hace unos días, supongo que por coincidencia o porque se trata de una asunto en auge, han aparecido varias noticias y opiniones relacionadas con la dificultad de contratar. En mi opinión, es evidente que nos encontramos ante un cambio del modelo (de paradigma, como diría Stephen R. Covey) que nos obliga a buscar la solución a la nueva situación desde un nuevo enfoque, porque si nos quedamos anclados en los patrones del pasado estamos abocados al fracaso.

Además, es un asunto generalizado y con denominadores comunes. Puede parecer preocupante, en nuestro sector, el de la Consultoría pero no es menos cierto que ocurre en otros sectores tan distintos como el de la hostelería. De esta forma, se ha dado la vuelta a la tortilla: Antes eran las personas las que debían buscar una empresa donde las quisieran contratar, ahora las empresas han de buscar personas que quieran venir a trabajar. Una vuelta de 180º (y en muy poco tiempo).

Me gustó el término que utilizó Andrés, "Employer branding" en relación a la actitud de Mercadona hacia sus trabajadores y, concretamente, la última noticia relacionada con el trato hacia sus madres trabajadoras. Creo, de hecho, que es la única solución a esta situación: Convertir nuestras empresas en lugares donde las personas quieran trabajar.

¿Por qué? Pues porque soy de la opinión de que, en el pasado, la relación entre la empresa y el trabajador era de superioridad, mientras que hoy por hoy, es una relación de igualdad. Es cierto que la empresa aporta ciertas cosas (estabilidad, respaldo...) pero la persona pone también su parte (creatividad, marca personal - sobre todo en este mundo de la consultoría,...). Es decir, se trata, nunca mejor dicho, de un contrato entre 2 partes en las que ambas deben salir ganando si queremos que se prolongue en el tiempo; si no es así, alguna de las partes, lo rescindirá. Por eso, los valores que más pesan en relación a la fidelidad son: el buen ambiente laboral, la responsabilidad, la autonomía en el puesto de trabajo y, no podía faltar, el dinero.

Por eso, como creo en esto, me ha encantado ver que los factores que, personalmente valoro y que trato de establecer en las relaciones con los que trabajan conmigo salen tan bien parados en esa encuesta. Al final, estamos en la empresa porque nos sentimos parte del proyecto de la empresa, porque nos gusta lo que hacemos y porque nos sentimos valorados... es decir, porque sentimos que "pintamos algo"... si no es así, cambiamos de aire.

02 julio 2007

Auditor de protección de datos

En mi opinión es algo así como decir, vendedor de coches (con todos mis respetos a los vendedores de coches). Lo que quiero decir es que no existe nada, ninguna acreditación que establezca claramente quién puede ser considerado como "auditor" en esta materia. Esto ha dado lugar a la ploriferación de auditores que han aprovechado el maravilloso caldo de cultivo creado por el regulador en esta materia:

Artículo 9 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD, para los amigos): Seguridad de los datos.
  1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
  2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
  3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.
Es decir, que hay un reglamento que desarrolla las medidas a adoptar, efectivamente así es y se publicó mediante Real Decreto 994/1999. Se trata del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal (aka. RMS). En concreto, en su artículo 17. Auditoría podemos leer:
  1. Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.
  2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglam ento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
  3. ...
Y se acabó. Esto es todo lo que se habla sobre este asunto.
Nos encontramos entonces con una legislación que obliga a establecer una serie de medidas de seguridad, entre ellas, la realización de una auditoría bienal (que no, bianual) para los datos de nivel medio y alto (es decir, para todos aquellos que exceden los simplemente identificativos de una persona). Si tenemos en cuenta que hasta ahora, esto incluía a la gran mayoría de datos de personal de las organizaciones (bien porque incluía datos de minusvalía de los trabajadores para aplicar una retención fiscal más favorable o información sobre su afiliación sindical para el pago de las cuotas) resulta que una gran parte de las empresas y organismos de cualquier tipo de este país eran o debían ser objeto de esta auditoría. Evidentemente, un mercado muy, muy apetitoso para cualquiera. Y ya sabemos lo que ocurre con un mercado en el que se prevén beneficios: Básicamente que entran competidores hasta que el beneficio es igual a '0'.
Por una vez, la economía que estudié en su momento no se ha equivocado y esto es justo lo que nos encontramos en este mercado: Están entrando "auditores" e incluso, me ha parecido ver algún vendedor de coches (¿o era de motos?)...
No bromeo. Me parece bien que ninguno de los sucesivos Gobiernos (desde 1999) haya querido regular la figura del auditor para que fuera el mercado el que se regulase. Por otra parte, apoyados por la UE que tampoco ha lanzado ninguna iniciativa en ese sentido (que yo conozca). Lo que no entiendo es porque el Gobierno se exime de su papel como garante último del derecho a la privacidad y permite que cualquiera que diga que lo es, realice y firme auditorías de cumplimiento con el RMS, dando a los ciudadanos una falsa sensación de "tranquilidad" en este asunto. ¿Qué impide que mi primo Francisco, un tío hecho y derecho, honrado hasta la médula, firme un informe de auditoría a ACME Corporation diciendo que cumple con las medidas establecidas en el RMS? ¿Qué ocurre si es mentira? ¿A dónde me dirigo a buscarle? En fin, un sinfín de preguntas que podríamos encadenar hasta el infinito...
En definitiva para ir acabando, ¿por qué no se puede crear y mantener por la Administración un registro de auditores reconocidos? Así dicho podría parecer una banalidad, pero es que, además es real. Esto ya ha pasado antes: Cuando se aprobó la Ley de Auditoría de Cuentas, junto con la figura del auditor, se crearon, el Instituto de Contabilidad y Auditoría de Cuentas (ICAC) y el Registro Oficial de Auditores de Cuentas (ROAC). Para acceder a este registro es necesario acreditar unos conocimientos y una experiencia ante el propio ICAC que realiza exámenes periódicos y mantiene dicho registro actualizado.
Pues bien, cuando se creó la LOPD, también se creo una Agencia Española de Protección de Datos (AEPD) pero... ¡oh, sorpresa! no se creó el equivalente a ese registro de "auditores de protección de datos" dando luz verde al nacimiento de esa figura mitad vendedor, mitad primo mío que campa a sus anchas por esos mundos de Dios, ofreciendo auditorías (incluso con rebajas).
En definitiva, creo que el legislador se equivocó. Se equívoco sobremanera al no regular esta figura y lo que es peor, sigue en una postura absurda de "mantenella y no enmendalla" que no se puede comprender después de la experiencia que atesora este país en esta materia. Supongo que todo es porque cuando un auditor falla, no emprendemos acciones legales contra él y, en caso de que fuera insolvente, no hacemos responsable civil subsidiaria a la Administración Pública.

30 junio 2007

Libro recomendado

Casi se me olvida. Hace 2 meses, se ponía a la venta el libro "Gobierno de las Tecnologías y los Sistemas de Información" publicado por la Editorial RA-MA.

Se trata de un libro divulgativo, promovido por el capítulo de Madrid de ISACA, en concreto por dos miembros de la anterior Junta Directiva del capítulo, Fernando Hervada y Mario Piattini, y en el cual, he tenido el placer y el honor de colaborar.

Quizás haya dicho muchas cosas sin explicarlas. Para los que no conozcan ISACA, se trata de una Asociación estadounidense que viene funcionando desde finales de los 60, en un principio, orientada a la auditoría y control de los Sistemas de Información y, últimamente, enfocada en el buen gobierno de las Tecnologías y Sistemas de Información.

Actualmente cuenta con más de 65.000 asociados a lo largo de más de 70 países por todo el mundo y organizados en "capítulos" (en inglés, chapters). Estos capítulos se crean en distintas ciudades (existen alrededor de 170) y pretenden dotar de cercanía a la labor de la asociación. Pues bien, en España (si no me equívoco) contamos con 3 capítulos (el mencionado de Madrid - el más antiguo, Barcelona y Valencia). Yo pertenezco al de Madrid y, creo que somos ya, más de 400 asociados (no está nada mal) pues, hemos sobrepasado a capítulos como el de Milán, que hace 2 años, nos doblaba en número.

Bueno, una vez explicado todo esto, puedo centrarme de nuevo en el libro ("yo venía a hablar de mi libro"). Como decía, es un libro divulgativo que sirve como introducción a todos aquellos preocupados por el buen gobierno de las TIC. ¿En qué consiste este problema? Pues bien, no es ni más ni menos, que la equivalencia de lo que ocurre a nivel corporativo, la creación de un modelo de gestión que permita alinear la estrategia de Sistemas de Información con las estrategias de negocio. En el libro se dan algunas orientaciones y se explican los conceptos generales que se promueven desde ISACA para mejorar en este área.

En concreto, mi aportación son 2 capítulos:
  • Capítulo 5. Visión general del gobierno de la seguridad
  • Capítulo 8. Cuadros de mando para el gobierno de TSI

Como veréis, temas de los que más me interesan, la seguridad y los cuadros de mando, es decir, la gestión de la seguridad.

Para finalizar, solo decir, que debo dar las gracias a mi empresa (ya sabéis, S21sec) por haber contribuido a la edición del libro (nada más y nada menos que junto a un gigante, Telefónica).

27 junio 2007

PCI - DSS: Una realidad

Ya he comentado anteriormente algo en relación al estándar creado por las marcas de tarjetas para tratar de evitar los robos masivos de información de titulares de tarjetas: PCI-DSS - Data Security Standard. Lo cierto es que se trataba (obsérvese el tiempo pasado) de un estándar que estaba encontrando muchas dificultades para ser implementado / exigido de forma efectiva en el mercado español.

Al margen de otras particularidades, lo cierto es que el mercado español (no sé si se trata de una característica común de lo latino) se distingue por hacer las cosas, no por ser una best practice, sino cuando son obligatorias (véase, la LOPD). En realidad, como comenta Bruce Schneier, para invertir en seguridad hemos de tener algún tipo de incentivo: mayor rentabilidad, menor riesgo... lo que sea, pero tiene que "compensar" (de nuevo me asalta Goldratt: "Cuando contribuya a obtener más meta para la organización"). Ahora, parece ser que alguna de las marcas de tarjetas ha empezado a imponer multas (algo insignificante... ¡¡¡50.000$/día!!!) a las entidades financieras que no puedan demostrar que los comercios que tramitan las operaciones a través suyo, cumplen con lo requerido en el estándar.

En definitiva, ahora (igual que ocurrió con la LOPD) las organizaciones tienen clarísimo que existe un coste por no cumplir con una norma y pueden valorar el coste de la no-seguridad.

No sé si es bueno o malo. Lo único que sé es que, ahora, a todo el mundo le entra prisa por demostrar que cumple con el estándar (no digo que no lo cumplieran, digo que quieren demostrar que cumplen).

Me llamo Antonio Ramos

Efectivamente, después de darle muchas vueltas, me he decidido: Me llamo Antonio y he sido 'sorani' en este blog.

He estado algún tiempo dándole vueltas y la verdad es que no he encontrado motivos para no dejar el anonimato. La única cuestión que merodea mi cabeza es si podrá surgir algún conflicto de interés con mi empresa (actualmente soy el Director de Consultoría y Auditoría Informática en S21sec), puesto que mi blog va sobre seguridad y es a lo que me dedico en mi empresa.

En cualquier caso, vaya por delante: Las opiniones vertidas en este blog son total y exclusivamente responsabilidad mía y en ningún caso tienen nada que ver con la organización en la que trabajo.

En fin, vaya el disclaimer por delante que luego, nunca se sabe... Aunque estoy convencido de que no habrá ningún problema...

11 junio 2007

El eslabón más débil de la cadena

A cualquier profesional le suena: "La seguridad es como una cadena, es tan fuerte como el eslabón más débil". Esto lo decimos por varios motivos: Para enfatizar la naturaleza de seguridad como proceso, como sistema, pero también para entender que se trata de una posición de defensa débil, es decir, el defensor tiene que defender todos los puntos, mientras que al atacante le basta con encontrar un punto vulnerable para tener éxito en su ataque.

Sin embargo, aunque todos estamos convecidos de que esto es así, muy pocos (por no decir, ninguo) gestionamos este proceso conforme a esta máxima. ¿Por qué digo esto? Porque si gestionáramos la seguridad teniendo este paradigma in mente, lo mejor sería emplear la misma estrategia que cualquier otro sistema cuya producción esté gobernada por su factor limitante. Me explico, después de identificarlo, habría que hacer que este factor limitante produjese al máximo nivel.
Esta forma de gestionar la seguridad cambiaría sobremanera el enfoque actual del proceso de gestión. Si seguimos lo establecido en los estándares, por ejemplo, el archi-conocido ISO/IEC 27001 que establece las pautas para montar un Sistema de Gestión de la Seguridad de la Información (SGSI) "certificable", tenemos que (como ya hemos comentado aquí anteriormente) llevar a cabo un análisis de riesgos que nos permita identificar el nivel de riesgo por cada área o dominio del alcance establecido y pasar a gestionar el riesgo en función de la estrategia definida.
Si planteamos la seguridad como un sistema en el que el output fuera el nivel de seguridad de la organización (parece obvio, ¿no?), el máximo nivel estaría marcado por el máximo caudal que pudiera gestionar el cuello de botella del sistema, es decir, el nivel de seguridad de la organización sería el del eslabón más débil de la cadena...
¿Cuál es la diferencia entre estas dos maneras de gestionar la seguridad? Según yo lo entiendo, la diferencia es que no tendría tanto interés realizar un análisis de riesgos como el hecho de encontrar cuál es el factor limitante, cuál es el eslabón más débil, puesto que sería el que marcaría el nivel de seguridad de nuestra organización. A partir de ahí, si quisiéramos elevar el nivel de seguridad de nuestra organización, lo que tocaría sería gestionar esa limitación y eso, ya se sabe, hay que preguntarle a Goldratt el cómo...

31 marzo 2007

Y luego dicen que los estándares no sirven para nada

Cuando a cualquier persona le imponen algo, normalmente nos parece mal, aunque sea "por nuestro bien", ¿verdad? No hay más que recordar los casos del tabaco, el alcohol, etc...
Pues lo mismo pasa en el mundo empresarial. Dos ejemplos claros son la legislación en materia de protección de datos de carácter personal o, más últimamente, la iniciativa de VISA y MasterCard para proteger los datos de titulares de tarjetas de crédito, el Payment Card Industry - Data Security Standard [PCI-DSS] (ahora adoptado por el PCI Security Standards Council).
Pero la verdad es que cuando el río suena, agua lleva. Si se promueven estas iniciativas, ya sea por la Administración, ya sean por el ámbito privado, es porque existe algún tipo de circunstancia preocupante que hace falta controlar. Otra cosa es si esa normativa es justa, excesiva o acaba regulando actuaciones totalmente correctas y dificultando el día a día de las organizaciones.
Y para muestra, baste un botón: El pasado 21 de febrero, TJX (grupo de empresas de moda con más de 16 mil millones de dólares de ingresos en 2005 y más de 2.500 tiendas en EE.UU., Canadá y Europa agrupadas en 8 marcas distintas) reconocía que habían sufrido una intrusión en sus sistemas de información que, según la información de Europa Press del pasado 29 de marzo, había resultado en el robo de... ¡¡¡45,7 millones de tarjetas de crédito de clientes!!! (un dato para comparar: según el INE, la población española a 1 de enero de 2006 era de 44,7 millones de habitantes).
Y lo peor de todo es que no ha sido algo puntual, sino que este robo se ha producido en repetidas intrusiones desde 2003. Después de estos datos, es más fácil que comprendamos por qué es necesario este estándar, de hecho, lo que nos deberíamos preguntar es: ¿Por qué las organizaciones no protejen adecuadamente esta información confidencial (tanto desde la perspectiva financiera como personal) y es necesario que alguién les obligue a establecer unas medidas de seguridad mínimas?
Pues muy sencillo, porque como mantiene Bruce Schneier, la seguridad es una inversión que está sujeta a las mismas reglas que cualquier otra inversión en el entorno empresarial, a salir bien parada de un análisis coste-beneficio. ¿Y qué ocurre con la seguridad? Pues que, a menos que existan multas, penalizaciones, sanciones, etc. que hagan subir el coste de la no-seguridad es difícil que sea "rentable" para una empresa invertir en seguridad.
Así que, gracias. Gracias a esas normas y a las organizaciones que las promueven por contribuir a un mayor nivel de seguridad (aunque sea a base de multas y sanciones).
Lo sé. Es triste, pero es así.

29 marzo 2007

Normativa en la utilización de los sistemas

Estaba visitando la web del Senado por otros temas (entre otros para saber dónde estaba) cuando me he encontrado con algo que no me esperaba.

...

¡¡¡Una Normativa para el uso de los sistemas de información!!! Casi no me lo podía creer. Se me han caído dos lágrimas de la emoción. Lo que siempre dicen las teorías, las best practices de esto de la seguridad, hecho realidad (y además, desde 2004).

Toca bastantes temas:
  1. El equipamiento informático - No es del usuario, por lo que no se puede modificar.
  2. Tratamiento de la información - Ojo con lo que se gestiona, sobre todo, datos personales.
  3. Soporte y mantenimiento - Hay que canalizar las peticiones y, quizás, acceder en remoto.
  4. Seguridad y Control - El usuario tiene que cumplir con las medidas de seguridad y, en particular, utilizar contraseñas de calidad.
  5. Salvaguarda de la información - Que será responsabilidad del usuario (la verdad es que se podrían herramientas de ayuda).
  6. Acceso a Internet - Ya se sabe, para uso profesional.
  7. Utilización del correo electrónico - Idem. pero con la posibilidad de contar con una dirección distinta para uso personal.
  8. Cumplimiento - Para todos los usuarios de los sistemas del Senado.
En definitiva: Mi más sincera enhorabuena a los autores / promotores, la Dirección de Informática de la Secretaria General del Senado y, por supuesto, a los que la han aprobado, la Mesa del Senado.

27 marzo 2007

¿Hacemos un Plan Director? (I)

La verdad es que está de moda.

Y eso debería hacernos sentir más felices: Vendemos más, tenemos trabajo asegurado y cumplimos las cifras esas de las que hablábamos antes. Pero como soy un apasionado de lo que hago, resulta que, aún así, no estoy feliz. ¿Por qué? Muy sencillo, porque la mitad de los Planes Directores de Seguridad que se hacen (siendo generoso) no sirven para nada. Y de esa mitad que no sirven para nada, la mitad es porque el que lo hace no aporta nada y la otra mitad es porque el cliente no está preparado.

Hoy nos centraremos en uno de estos casos: Aquellos en que se hacen por alguien que no aporta (no aportamos) nada. En estos casos nos encontramos con un escenario en el que, con independencia de que la organización estuviera preparada o no (eso ya hemos quedado que lo veremos otro día), se ha seguido el enfoque "académico". Ese enfoque dicta que para hacer un Plan Director de Seguridad hay que hacer un análisis de riesgos, para evaluar la seguridad cogemos un estándar (siempre el mismo, la UNE-ISO/IEC 17799:2005) que reuna todo lo que se puede hacer en seguridad (?), definimos una estrategia de gestión del riesgo y para acabar, metemos todo eso en la coctelera, y preparamos el Plan de Proyectos. Todo esto ha sido muy resumido y sin florituras, cuando se hacen ofertas, todo se adorna bastante más.

Y yo me pregunto, ¿quién ha dicho que esto se hace así? Pues muy sencillo, porque esto está en línea con las directrices de un Sistema de Gestión de la Seguridad de la Información (SGSI para los amigos) conforme a otro estándar (ISO/IEC 27001:2005) y como todos en el mundo de la Consultoría nos dedicamos a copiarnos (excepto alguno que piensa de vez en cuando), pues resulta que acabamos todos con el mismo mensaje y como corderitos, todos por la misma senda.

Y, ¿cuál es la realidad de todo esto? Pues que el que lo hace, en lo que está realmente interesado es en quedarse con la "implantación" de las medidas de seguridad que se obtienen como resultado del Plan y entonces, está como loco por incrementar el número de proyectos de forma descarada sin importarle ni la situación de la organización ni sus planes, ni nada de nada. Vamos, que como dice una buena colega, casi podíamos empezar por el final, por el plan de proyectos e ir construyendo hacia atrás, hasta el análisis de riesgos.

Lo malo de todo esto es que cuando hemos acabado, nos damos cuenta de que hemos consumido un buen montón de recursos (y aquí el presupuesto es lo que menos cuenta... importa más el tiempo de las personas), que hemos generado un montón de expectativas en la organización y que no vemos que realmente ese plan refleje nuestra realidad, ni nuestra cultura ni nuestros planes de futuro. Y cuando decimos tiempo, es un MONTÓN de tiempo: 4, 5, 6 meses... En fin, todo un despilfarro.


Por eso creo que tenemos que darle la vuelta, tenemos que innovar, tenemos que satisfacer las verdaderas necesidades de nuestro cliente. Y para eso, es necesario que cambiemos radicalmente el enfoque: La seguridad es un proceso que (normalmente) da soporte a la organización en el cumplimiento de sus objetivos de negocio y, ahí, es dónde hay que poner el énfasis. Para hacer un buen Plan Director, que yo llamaría estratégico hay que tener en cuenta otras cosas:
  • Hay que tener clara la estrategia de la organización: Sus puntos fuertes, sus puntos débiles, sus planes de futuro... Aquí Mario tendría mucho que decir sobre cómo están definidas las estrategias de las organizaciones.
  • Hay que contar con el grado de interlocución necesario. Normalmente los que poseen esta información están muy arriba en los organigramas.
  • Hay que manejar conceptos de gestión y dirección de empresas (de management) que, a los expertos en seguridad normalmente se nos escapan... (tendremos que fichar MBAs en nuestras organizaciones??)

Vamos, que hay que cambiar la metodología de arriba abajo... Bueno, hay está la gracia, el reto...

¿Alguién se anima? Voy a dar una pista... A mi me gusta TOC...

12 marzo 2007

Consultoría artesana... ¿en una empresa?

El motivo de mi entrada en este mundo de los blogs fue conocer por boca de otros como veían este mundo de la consultoría al que me dedico y, sobre todo, como pensaban que se podía hacer mejor. Y ahí fue donde me topé con el concepto de consultoría 2.0. La verdad es que, viniendo de una de las big four, sabía muchas cosas que no debía hacer, pero sobre cómo hacerlas, tenía bastante menos información y formación, por no decir ninguna.
Así que aquello me empezó a entusiasmar. Creo que al primero que leí fue a Julen:
  • "Ética personal y deontología profesional con el cliente
  • Respeto como valor clave en la gestión de personas.
  • La relación con el cliente.
  • Sistemas de incentivos, retribución y reconocimiento.
  • Atracción y retención del talento.
  • Gestión y formas de compartir el conocimiento.
  • Innovación efectiva vs. modas en management.
  • Project management en la consultoría."

Y luego al amigo Mario y surgieron otros conceptos que también me interesaron:

  • Big four vs. redes
  • PMBOK vs. Agile
  • Tarifas horarias vs. Price per value
  • Contratos vs. Relaciones
  • Profesión vs. Vocación
  • etc.

Pero siempre he tenido una espinita clavada: Estoy en una EMPRESA, en la que creo en el proyecto, que tiene sus cosas malas pero que me ha dado bastante (quizás menos que yo a ella, ya lo sé) y en la que tengo la oportunidad de hacer consultoría de otra forma pero... ¿es posible? Y justo estando en esta reflexión, llega Julen a echar leña al fuego diciéndonos que ha creado una empresa...Ya no entiendo nada, pero ¿no habíamos quedado en que esto iba de artesanía y yo para mi mismo y cosas por el estilo?

La verdad es que se trata de un asunto complicado. Cuando estás en una empresa te encuentras dentro de una espiral loca de cifras, presupuestos, precios e indicadores que te llevan a estar día tras día, semana tras semana, metido en un proyecto tras otro, ¿por qué? Porque a final del año lo que le importa al accionista es que los números salgan y para eso, te hace falta estar en esa dinámica... ¿o quizás no? Supongo que es un conflicto de esos que nos gustan a los apasionados de TOC que se merece una nube... Debería trabajar en ella. De todas formas se me ocurren un par de supuestos por los que "evaporar" el conflicto:

  • Incremetar el valor del servicio y, apoyándonos en ese "Price per value" que comentábamos, aumentar la facturación por persona, de forma que "compremos" tiempo libre para otras cosas: investigar, vida personal, publicar, etc.
  • Aumentar la eficiencia del trabajo que hacemos apoyándonos en herramientas para compartir conocimiento y, claro está, fomentar esa práctica entre los consultores del equipo.

En fin, se admiten sugerencias para "inyectar" la nube. Pero, de todas formas, me gustaría dejar una pregunta en el aire: ¿Esa consultoría 2.0 tiene tanto romanticismo implícito que es incompatible con el concepto de empresa?

07 marzo 2007

Un día duro

De repente, me he visto aquí, en un aeropuerto, esperando durante 2 horas a un avión y he pensado: "Caray que vida llevas, compañero. ¿Por qué no lo cuentas en tu blog?" Así que, en esas estamos. La verdad que esta posición de Director de un departamento, conlleva ciertos "inconvenientes". Al final, hay 16 personas que dependen de tí y de que haya actividad suficiente para seguir adelante día tras día y, para eso, acabas asumiendo funciones que no son tuyas y convirtiéndote en una especie de hombre-orquesta.

Así, hoy el día ha empezado a las 5:00 AM cuando ha sonado el despertador (3 veces porque a la primera, no me levanto ni con grúa y, menos a esas horas). Desayunas, te duchas, te pones el traje y ¡venga!... al aeropuerto. 35 minutos por esa maravillosa M40 (así que ya sabéis que vivo en Madrid), eso sí, a 110 km/hora para que no te pille ningún radar, y ya estamos en la T2 de Barajas.

Después de la espera de rigor para embarcar (aunque estaba previsto a las 6:50 AM, acabamos embarcando a las 7:10), a las 7:30 salimos para San Sebastián y, claro, aunque teníamos que llegar a las 8:05, llegamos a las 8:20... cosas de los vuelos. Menos mal que viajamos en un maravilloso, cómodo y moderno MD87. Una vez que aterrizas, pues 45 minutos de coche hasta Aretxabaleta (menos mal que las vistas son espléndidas porque las carreteras...) donde asisto a un seminario sobre Cadena Crítica (si queréis saber más sobre esto, aunque acabaré hablando de ello, os recomiendo la página de Mario que es quién me ha descubierto el mundo de TOC) que organiza la Universidad de Mondragón.

Luego, de vuelta a Donostia, donde recojo a otro compañero y pongo rumbo a Iruña / Pamplona a una reunión con cliente... para hablar de una oferta, de esas que, como dice Julen, ya solo la oferta tenía que costarle dinero. Y ya está; acabas la reunión con el cliente, todo va bien, le gusta y te vas al aeropuerto a esperar tu vuelo y cruzar los dedos para que no se retrase (por cualquier causa, da igual). Encima, todo ha ido bien, has acabado pronto, pero no lo suficiente para adelantar tu vuelo y te encuentras "vendido" durante 2 horas en el aeropuerto. Menos mal que tengo un blog y puede escribir este post... que si no...

Para colmo de mis males, hablo con mi pareja (y futura mujer) y... las celosias del jardín se han caído y yo en Pamplona y no llego hasta las 09:00 PM (si no hay retrasos)..., eso sí, al terminal T4, por lo que cuando llegue, tendré que coger el bus para que me lleve al parking del T2 (vamos, otros 15 minutitos de traslado, como hoy te has movido poco, companyero...)

La verdad es que ha sido un día duro (y lo peor es que hay varios de estos todas las semanas), creo que tengo que hacer algo porque no es un planteamiento a largo plazo seguir así...

Seguro que vuelvo sobre el tema...

Si no vas, no has ido

Acabo de leer "Ir o no ir", el libro de Paco Muro, Consejero Delegado de Otto Walter y me he dicho: "Chaval, ya llevas demasiado tiempo queriendo escribir y no lo haces por temor a no estar a la altura, así que, mejor si te pones a ello y así comprobamos todos si merece la pena o no".

Y dicho y hecho. Aquí me encuentro, en una esquinita del aeropuerto de Noain (Pamplona para los que no lo ubiquen) escribiendo mi primer post en serio.

Lo primero que tengo que decir es que llevo bastante tiempo enganchado a esto de los blogs, (tampoco mucho, la verdad) y he descubierto un mundo alucinante: Sobre todo, un mundo de auténticos apasionados de lo que hacen, cualidad que envidio y con la que me siento totalmente identificado. Precisamente este hecho, el leer con asiduidad a Mario y a Julen, han hecho que haya dudado tanto, tantísimo, en iniciar esta actividad como "bloggero": Había que estar al nivel y eso no es fácil, pero bueno, vamos a intentar aportar mi punto de vista a este universo paralelo.

Porque, como dice el libro de Paco Muro, "si no vas, no has ido" y eso es lo peor que te puede pasar.