03 septiembre 2008

En qué se parece un consultor y un bar

Una cosa que no os había contado es que me había criado en un bar. De hecho, el bar de mis padres y yo solo nos llevamos 2 meses (yo en julio y el bar en septiembre). Os cuento esto porque podríamos decir que soy consultor y que entiendo de bares. Y lo que quería contaros tiene que ver con las dos cosas.

Hace unos días hablaba con un buen amigo (también consultor) y me comentaba que un cliente suyo había descubierto que tenía que hacer consultoría y se había puesto a ello sin más. Y justo a mi me acababa de pasar lo mismo. Como si ser consultor fuera cualquier cosa. Igual que poner un bar, parece que cualquiera puede montar un bar.

Durante los más de 30 años que he pasado en el bar de mis padres, he visto a su alrededor montar decenas de bares y... cerrarlos en menos de 1 año. Y es que una cosa es tener el dinero para montar un bar y, otra muy distinta es ser capaz de sacar adelante ese negocio: Para todo hay que ser profesional, tanto para ser consultor como para montar un bar.

Ya sé que hay muchos chistes sobre los consultores y que se hacen muchas gracias sobre ser consultor, pero la verdad es que ser un consultor experto no es trivial y mucho menos lo es subsistir como consultor con el paso del tiempo.

En fin, una reflexión liviana para ir reentrando en la rutina...


29 agosto 2008

Lecturas de verano (yIV)

Y para finalizar con las lecturas del verano, esta magnífica obra sobre la construcción de métricas de seguridad, "Security Metrics" de Andrew Jaquith.

No es una obra que se limite a enumerar métricas de seguridad, sino que "te enseña a pescar": qué debemos buscar, cómo construirlas, qué graficos emplear, qué colores... y también, claro está, algunos ejemplos.

Me han gustado muchas reflexiones, pero os comento las más destacadas (a mi juicio):

  • No debemos confundir las métricas de seguridad con el análisis de riesgos (por cierto, mi alter ego acaba de escribir sobre esto y coincide con Andrew sobre el problema que suponen las estimaciones para una buena medida).
  • Que las métricas deben ser: consistentes, baratas de obtener, expresadas como un número cardinal o un porcentaje, que deben utilizar al menos una unidad de medida y deben ser específicas del contexto.
  • La explicación que hace de la utilización de métricas para el diagnóstico de problemas, apoyándose en el funcionamiento de los experimentos científicos que no tiene desperdicio.
  • Evidentemente, el catálogo de métricas para el diagnóstico de problemas y la medición de la seguridad técnica (capítulo 3) y para medir la efectividad del programa de seguridad (capítulo 4) [por cierto utilizando COBIT].
  • Y, finalmente, el ejercicio de análisis para conseguir un balanced scorecard para la seguridad de la información que, aunque yo prefiero utilizar TOC, no quita para que sea un buen ejercicio de identificación de métricas relacionadas con el negocio (que es al fin y al cabo lo que perseguimos con este tipo de cuadros de mando).

En definitiva, indispensable para aquellos que nos dedicamos al buen gobierno de la seguridad de la información...


Lecturas de verano (III)

Lo compré siguiendo la recomendación de "mi jefa" que le gustó el título y no se equivocó (como casi siempre). Durante algunos momentos de la lectura, me recordó a ciertos episodios de comienzos de mi carrera profesional. Y es que Ferrazzi me recordó a un "compañero" que empezó conmigo en una de las big four y que demostró entender de que iba el asunto y manejarlo como un auténtico maestro. Evidentemente el llegó a socio mucho antes de que yo me marchara (sin llegar ni siquiera a senior manager). Gracias a Dios, parece que Ferrazzi aprendió algunas lecciones sobre su estilo de liderazgo que creo que mi antiguo "compañero" todavía no ha aprendido (quizás debería recomendarle el libro).

Bueno, yendo al tema, es un libro que trata sobre cómo hacer networking y para los que me conocéis, os podréis imaginar que me ha venido muy bien, porque no es precisamente algo que domine. Todavía tengo pendiente decidir cuánto esfuerzo quiero dedicarle, pero indudablemente su forma de ver el networking me ha ayudado a darle un nuevo enfoque, sobre todo porque he visto que puede ser algo que se desarrolle, no algo innato (aunque evidentemente, hay algunos más predipuestos que otros).

Como en los casos anteriores os adjunto algunas citas:
"... el verdadero networking consiste en encontrar maneras de hacer que otros obtengan éxito".

"Las relaciones se solidifican con la confianza".

"... es más fácil avanzar en la vida cuando las personas que trabajan para ti quieren ayudarte, que cuando desean tu fracaso."

"Si no haces amigos al relacionarte con la gente más vale que te resignes a tratar con gente a la que no le importa demasiado lo que te pueda pasar."

"Ser invisible es un destino mucho peor que fracasar. Eso significa que debes intentar conectar con otros siempre..."

"No dejes que la vanidad se filtre en tu manera de actuar, ni que cree en ti una sensación de merecer tu éxito"
Así que ahora, sólo me queda ponerlo en práctica... Ya os contaré que tal me va...

27 agosto 2008

Lecturas de verano (II)

Voy a continuar con "La nueva gestión del Talento". Es el primer libro que leo de Pilar Jericó. Ya sabéis que la tengo entre mis preferencias, pero no había tenido oportunidad de leerla hasta este verano y no me ha defraudado en absoluto.

Creo que todos aquellos a los que os preocupa cómo ser un buen jefe, deberiáis pasar por esta lectura. No tiene desperdicio.

No quiero destriparos su lectura, pero si incluiros algunas citas que me han gustado en especial:
"Todos tenemos talento, pero no tenemos talento para todo"

"La gente se esfuerza más como resultado de un compromiso emocional, que no racional".

"El compromiso es como un baile en pareja, el resultado de dos, de la capacidad de comprometerse del profesional y de las actuaciones de la empresa."

"El compromiso se crea en la práctica y no con palabras bonitas."

"... ¿qué es preferible, un profesional con menos capacidades, pero con más alto nivel de compromiso, o con altas capacidades, pero con bajo compromiso con la empresa? Si lo importante es el talento de los equipos, la respuesta resulta fácil."
... Y no voy a seguir porque tengo decenas de frases más que podría añadir pero prefiero que os lo leáis. Son solo 200 páginas, que se devoran en un par de días.

Para finalizar, deciros que en mi opinión, los primeros capítulos son introductorios y que, los que más me han aportado, son los capítulos del 4 en adelante. Y sobre todo, el decálogo del gestor del talento que se recoge, a modo de resumen, en el último capítulo.

Gracias, Pilar y... ¡Enhorabuena!

Lecturas de verano (I)

Como habréis visto, he estado un tiempo sin escribir. Ya lo sé. Mal hecho. Pero os prometo que no he estado perdiendo el tiempo: Le he dedicado bastante tiempo a la lectura, así que he pensado que podía compartir con vosotros (los 2 ó 3 que leéis este blog) mis lecturas y mis opiniones sobre ellas.

Voy a empezar por "SUN TZU - El Arte de la Guerra para Directivos" de Gerald A. Michaelson. No por nada en especial, simplemente por orden cronológico.

La verdad es que necesitaré otra lectura para analizarlo en detalle. Era lo que esperaba. Pero sobre todo me ha gustado una cita de la que se hace eco el autor casi al final del libro y que se le atribuye a "un señor de la guerra de China":
"El que consigue una victoria se convierte en Emperador.
El que consigue dos, en Rey.
El que consigue tres, en Señor Protector.
El que gana cuatro, queda exhausto.
El que gana cinco, sufre calamidades"

En resumen, no libre batallas que no puede ganar. "Los buenos políticos negocian. Los malos políticos emprenden batallas.

17 agosto 2008

Coopetir con empresas públicas

[Dedicado a superJ]

Cada vez es más habitual coopetir con empresas públicas. Tirando de Wikipedia eso quiere decir, "aquella que es propiedad del Estado, sea este nacional, municipal o de cualquier otro estrato administrativo, ya sea de un modo total o parcial". Y en la legislación española (me ha costado encontrarlo, lo admito), según el Real Decreto Legislativo 1091/1188, son Sociedades Estatales [...] "las Sociedades mercantiles en cuyo capital sea mayoritaria la participación, directa o indirecta, de la Administración del Estado o de sus Organismos Autónomos y demás Entidades estatales de derecho público." y en la Ley 6/1997 de Organización y Funcionamiento de la Administración General del Estado en la que se establece que "Las sociedades mercantiles estatales se regirán íntegramente, cualquiera que sea su forma jurídica, por el ordenamiento jurídico privado, salvo en las materias en que les sea de aplicación la normativa presupuestaria, contable, de control financiero y contratación. En ningún caso podrá disponer de facultades que impliquen el ejercicio de autoridad pública."

En resumen, que en algunas ocasiones actúan como proveedores, actuando como canal para contratar servicios con la Administración Pública y, en otras, compiten con nosotros para proveer de dichos servicios a la Administración (por eso, lo de coopetir).

¿Qué opináis de la coopetencia?
------
La foto es de akash en Picasa

08 junio 2008

Cifrar versus Encriptar


Me vais a perdonar... Ya sé que es una chorrada y que no va a ninguna parte, pero me pone muy nervioso.

Soy de la opinión que es mejor utilizar los términos en castellano cuando estos existan y dejar los anglicismos para cuando no quede más remedio (que ya son bastantes). Pues eso me pasa con los términos cifrar y encriptar. Aunque tendemos a usarlos como sinónimos, siento daros la mala noticia de que el término encriptar no existe en el diccionario de la Real Academia y que, en todo caso, significa "meter en una cripta". Ya sé que sería lo más fácil pensando en término inglés, encrypt, pero es aquello que denominamos como un "false friend", es decir, que se parece pero no es...

Así que, ya sabéis, a partir de ahora, acordaros de mi (de este cap...) y cuando vayáis a decirlo, lo pensáis 2 veces, y lo sustituís por "cifrar" que según el mismo R.A.E. significa: "Transcribir en guarismos, letras o símbolos, de acuerdo con una clave, un mensaje cuyo contenido se quiere ocultar".

---------------
La foto corresponde a la Cripta protorrománica de la Catedral de Palencia

06 junio 2008

Hablando de seguridad en Extremadura


Ahora que Extremadura está "mucho en los medios" tengo la oportunidad de visitarla para hablar sobre seguridad de la información. Para un extremeño como yo (nací en Madrid, "de casualidad"), es todo un placer visitar su tierra en relación a una de sus pasiones (la seguridad de la información... ya sabéis lo de vida personal-profesional).

Lo he contado en el blog oficial para que aquellos que no lean este blog (el mio es mucho más modesto)... Nos vemos el próximo jueves, día 12, en el recinto ferial (Don Benito) en el marco de ENTER.

P.D.: Seguro que Laurent me encarga una Torta del Casar...

26 mayo 2008

La participación y los Planes Directores


Casi tenía olvidado este tema de los Planes Directores, pero un reciente post en Vida de un Consultor sobre la frase de Julen sobre la capacidad de decisión y el compromiso me lo ha vuelto a traer a la mente, sobre todo por el comentario de 'Estoy repe' que prefería el término participar al de decidir...

La frase lapidaria quedaría algo así como...
"Si no me dejas participar, luego no esperes demasiado compromiso por mi parte"
¿Y por qué me ha recordado esto el tema de los Planes Directores? Muy sencillo, porque uno de los motivos que me han llevado a innovar sobre este asunto es el hecho de que he comprobado en múltiples ocasiones que tras finalizar un Plan Director, hay que volver a "venderlo" dentro de la organización porque no se ha hecho participar a los actores adecuados.
¿Qué quienes son estos actores? Lógicamente la Dirección... Si no dejamos participar a la Dirección en el Plan Director, no pretendamos que se sientan comprometidos con los resultados...

Actualización: He recordado una entrada fenomenal de Pilar Jericó sobre el compromiso y me quedo con una frase: "el compromiso nace de la libertad". Leedlo. Es muy recomendable.

------
La foto es de O3 en Picasa

25 mayo 2008

Nuevo escenario para los enfrentamientos


La evolución de la humanidad conlleva una evolución de la forma en la que luchamos contra nosotros mismos (ya sabéis, aquello de que "el hombre es un lobo para el hombre"). Nada tienen que ver las batallas estilo '300', con las famosas de romanos, las que nos dió un tal Napoleón, una de las del Oeste americano o la II Guerra Mundial... Ahora lo que toca es el estilo Jungla de Cristal 4.0...

Ya hemos hablado aquí algunas veces sobre el tema, pero es recurrente... Ahora, vuelven sobre el tema los estadounidenses donde están discutiendo sobre si dotar un presupuesto de 17.000 millones de dólares para proteger sus redes y las de aquellas que se considere necesarias por el bien de la población y preparar para contraatacar.

Y también los británicos (muy activos en este tema últimamente) donde es noticia el hecho de que el Gobierno planea almacenar todos los correos y llamadas con el objetivo de perseguir a terroristas y criminales.

En definitiva, el hecho de que el mundo "online" cobre cada vez mayor importancia hace que el enfrentamiento se desplace hacia esa realidad "alternativa" donde se puede hacer tanto daño al enemigo como en el estilo "clásico"... ya veremos donde nos conduce esto... ¿llegaremos a ver alguna vez una batalla al estilo de la Guerra de las Galaxias?

-------
La foto es de O3 en Picasa

La concienciación en seguridad, una condición necesaria


Hace unos días, leía que la CNMV y el Banco de España iban a crear una web sobre educación financiera motivados por la proliferación de nuevos instrumentos financieros y preocupados por el uso y el abuso de los mismos. Y es que, siempre que hay "usuarios" (léase, personas) en el sistema, y después de pelearnos durante años y muchos presupuestos tratando de establecer medidas preventivas, nos damos cuenta de que llega un punto en que no conseguimos mejoras sin involucrar a los usuarios.

¿Por qué?

La respuesta, para los que recurrimos a TOC para analizar este tipo de situaciones, es que nos encontramos ante una de las causas raíz que originan una gran parte de los problemas del sistema. En nuestro caso, la falta de concienciación en seguridad de los usuarios. Dicho de otra forma,
la concienciación es una condición necesaria aunque no suficiente, para alcanzar mayores niveles de output en el sistema (confianza, seguridad...) Este tipo de situaciones implican que existen un conjunto de condiciones que cuando se dan, constituyen una condición suficiente para alcanzar el objetivo pero que, de forma individual, no lo consiguen. Por eso, aunque invertimos más y más, no conseguimos mejorar nuestro nivel de seguridad, porque una de las condiciones necesarias no se está produciendo: no tenemos usuarios concienciados.

Por eso, en un país, en el que una cuarta parte de los ciudadanos ha realizado una compra a través de Internet en el último año y cerca de un 80% de los usuarios de Internet utiliza la banca online habiendo contratado un servicio financiero un 32%, nos parece una gran noticia que finalmente alguien se haya puesto manos a la obra con la concienciación de los usuarios en materia de seguridad. En este caso, me refiero al hecho de que INTECO vaya a poner en marcha la mayor campaña de generación de confianza y seguridad en internet con el lema "Aplica tu sentido común". Además, personalmente, me encanta el argumento elegido pues es algo que intento utilizar siempre que hablo sobre estos temas, el paralelismo entre el mundo "real" y el mundo "online".

Ahora solo cabe desearles suerte y que no sea un esfuerzo puntual, como todos sabemos, el éxito de la concienciación radica en la continuidad del esfuerzo.

29 abril 2008

Gestionando la seguridad como una externalidad


Varias noticias leídas estos días hacen que me reafirme en la convicción de la importancia que tiene el concepto de externalidad a la hora de gestionar la seguridad (y para los que queráis ver otro ejemplo del concepto aplicado al medioambiente podéis ver lo que ha pasado en Buenos Aires).

Las dos noticias que he leído podría parecer que no tienen nada que ver con esto pero, en mi opinión, ofrecen mecanismos alternativos para paliar los efectos de lo que denominamos "externalidad negativa":

Noticia 1. Telefónica se plantea auditar el grado de responsabilidad de sus proveedores. En este caso, lo que vemos es como una empresa para la cual hay un aspecto importante de sus proveedores (como podía ser los mecanismos de seguridad, máxime cuando "la seguridad es tan fuerte como el eslabón más débil de la cadena") decide asegurarse de que implanten ciertos mecanismos de Responsabilidad Social Corporativa. En este caso, claramente, el no cumplir con esas medidas tendrá el coste de no poder contratar con esta gran organización (es decir, en nuestro caso, la no-seguridad pasaría a tener un coste).

Noticia 2. El Gobierno estudia exigir a las empresas seguros obligatorios para riesgos laborales. De nuevo estamos en un caso en el que lo que se busca es que la no-seguridad (en este caso laboral) tenga un coste para las empresas, de forma que, una mejora en las medidas de seguridad establecidas, suponga un menor coste vía una póliza de cobertura más barata (al fina y al cabo, las compañías de seguros son las reinas en el cálculo actuarial de riesgos). Esta misma medida se puede aplicar al concepto de la seguridad de la información: Se podría exigir la contratación de un seguro para cubrir incidentes de seguridad, de forma que, cuanto mejores fueran los procesos de seguridad de una compañía, menor sería el coste de cubrir ese riesgo (más barata sería la póliza).

---------------
La fotografía es de P.Winberg (c).

22 abril 2008

Actividad frenética del PCI Security Standards Council


Parece que la actividad del PCI Security Standards Council se va "centrando" y una visita a su página, así lo demuestra. Sobre todo os recomiendo lo que ellos denominan Supporting Documents. Allí podemos encontrar, en especial:

  • Múltiple documentación en castellano (los procedimientos de auditoría, por ejemplo).
  • Suplementos informativos sobre los requerimientos 6.6 y 11.3.

En definitiva, información muy útil, así como los SAQ y otras cosas comentadas en "la empresa".


15 abril 2008

Sugerencias para ser un buen jefe


Como sabéis los que me leéis hace tiempo, ser un "buen jefe" ha sido siempre una gran preocupación para mí, bueno, más bien una gran responsabilidad. Aunque llevo ya un tiempo ejerciendo, la verdad es que nunca me he acostumbrado a esa presión y la sigo sintiendo de manera continua y creo que es bueno. Ya sabéis, para no despistarme (además me he dado cuenta de que es una preocupación para muchos otros porque es la búsqueda que más visitantes trae a mi blog: ¡Bienvenidos!).

El caso es que estar alerta sobre este tema me ha hecho encontrar un blog muy interesante, el de Pilar Jericó. Conocí de su existencia gracias a una entrevista que le hicieron para 'Executive Excellence', el suplemento de Cinco Días, y de primeras, me impresionó su formación: Estrategia en Harvard University, Comportamiento Organizativo en UCLA... Luego, leí su blog y se confirmaron mis sensaciones, no tiene desperdicio. Os recomiendo esta entrada reciente sobre el compromiso y la libertad, donde recoge de manera brillante y sucinta las pautas a seguir por los que queráis ser buenos jefes y estéis, por tanto, interesados en fomentar el compromiso de vuestro equipo:
  • Fomentando un ambiente de trabajo adecuado.
  • Haciendo que el compromiso emocional guíe al compromiso racional.
  • Confianza
  • Coherencia
  • Y... estando vosotros mismos, comprometidos.
Para finalizar una frase mítica que debo a Juan Antonio: La diferencia entre aportar y estar comprometido la podemos apreciar en un plato tan típico como los huevos fritos con chorizo. En este plato, la gallina claramente está aportando, pero el cerdo... el cerdo está realmente comprometido.


La responsabilidad del Banco de España en el fraude on-line

Tenía pendiente de leer esta comunicación del Servicio de Reclamaciones del Banco de España aparecida en El País. En ella, el BE viene a decirles a las entidades financieras españolas que no se pueden desentender a sus clientes en lo relativo al fraude electrónico. La verdad es que es una afirmación bastante "esperable" del BE, sobre todo, atendiendo a la Directiva 2007/64/CE.

No obstante, tampoco el BE puede desatender su responsabilidad en esta situación. Al fin y al cabo, estamos ante un caso claro de externalidad (
situación en la que los costes o beneficios privados a los productores o compradores de un bien o servicio difiere del coste o beneficio social total relacionado con su producción y consumo), es decir, para las entidades financieras, el prestar un servicio seguro es mayor coste que no tiene por qué significarles un mayor beneficio y, por tanto, no lo abordan. Estamos, de nuevo, en una situación en la que el mercado no regula (?) bien una situación. Por este motivo, mantengo que el BE no puede permanecer al margen y esperar que las entidades financieras lo arreglen ellas "solas". El Banco de España debe proporcionar las condiciones para solucionar esta situación.

Los mecanismos con los que cuenta son diversos: su potestad reguladora (obligatoriedad de utilizar un segundo factor de autenticación), su potestad sancionadora (penalizaciones para los sistemas inseguros), e incluso, porque no, su capacidad de marcar tendencia (predicar con el ejemplo), en definitiva, también el BE es, en cierta forma, responsable del fraude on-line.

10 abril 2008

Denegación de servicio en el mundo real

El fenómeno se denomina 'flashmob' y he leído este (pen)último caso en El Mundo. El caso es que sabéis que siempre busco paralelismos entre el mundo real y el "virtual" y en este caso, lo que me ha sugerido es que es bastante parecido a una denegación de servicio, ¿verdad?



Aunque puede parecer una locura, según como se utilicen este tipo de "quedadas" pueden suponer un riesgo para los receptores de la avalancha humana. Todo dependerá de las intenciones de los promotores (al igual que los efectos del malware depende de las motivaciones de sus creadores y ya hemos visto que en los últimos tiempos dichas motivaciones están cambiando).

09 abril 2008

¿Qué es el futuro? ¿Huevo o hamburguesa?


Vaya pregunta, ¿verdad?

Pues lo mismo me pasó a mi al leer el post de José Luis Montero en YNNOVATE: Mejor huevo que hamburguesa. Ya sabéis que en estos momentos vivimos tiempos de cambio en la empresa y leer esta reflexión sobre qué se parece más al futuro, si un huevo o una hamburguesa, al menos me ha hecho sonreír... (además porque AdWords me ha incluido un anuncio de "Huevos Inmaculada").

Coincido plenamente con José Luis. El futuro no es una hamburguesa que se pueda modelar y que permanece (casi inalterable) al pasarla por la plancha. Todo lo contrario. Es un huevo, indomable, impredecible al caer sobre el aceite de la sartén.

Pero aún así el ser humano es como es, necesita seguridad y necesita que le digas cual va a ser su futuro, cuando tu piensas... "Dios mío, y yo que sé... ¿cómo voy a saber yo lo que va a pasar el mes que viene, la próxima semana o dentro de un segundo?" Así que haces de pitonisa, sacas tu bola de cristal y le cuentas lo que tu esperas que suceda durante los próximos tres años, cuando rehagamos el Plan Estratégico (versión 3.0).

(La foto es de Joao en Picasa)


07 abril 2008

El no va más del SaaS

Pues sí, los chicos malos son capaces de seguir sorprendiéndonos cada día. Ahora no es que hayan ideado una nueva manera de suplantar nuestra identidad o hayan desarrollado un nuevo modelo de fraude.

La última tendencia es aplicar nuevos modelos de negocio a su actividad. Efectivamente, ahora aplican el concepto que hemos comentado de Software-As-A-Service (SaaS) a sus plataformas de fraude para permitir que otros hagan uso de ellas, cobrándoles en función del servicio utilizado... Increíble pero cierto, sino, lee este interesante artículo de Dark Reading.

30 marzo 2008

Tendencias en seguridad (por B. Schneier)

Como el otro día recordé que tenía pendiente resumir la intervención de Bruce Schneier en la última jornada internacional del ISMS Forum, me he puesto manos a la obra.
  1. Cada vez existirá una mayor cantidad de información que nos llevará a considerarla como la contaminación del futuro (consecuencia de la era de la Sociedad de la Información).
  2. La importancia de proteger nuestras infraestructuras críticas. Ya lo hemos comentado también en algunas ocasiones por aquí.
  3. El auge en el número de terceros que controlan y protegen nuestra información.
  4. La continuación en el incremento de la complejidad de los sistemas de información y, por tanto, de su impacto negativo sobre la seguridad de los mismos.
  5. La presencia de criminales en Internet. Ya lo hemos comentado también en alguna ocasión: En el pasado, lo que se llevaba era la ética hacker, ahora, lo que se busca es el beneficio y otros objetivos no tan pecuniarios.
  6. La mayor sofisticación del malware. Lo venimos observando desde hace más o menos 18 meses y, desde luego, es una tendencia creciente.
  7. La ralentización de los parches y el incremento, en número y en velocidad, de los exploits.
  8. La necesidad de securizar el último eslabón: el puesto cliente.
  9. El incremento de regulaciones.
Al margen de esto... "perlas" de su repertorio habitual: la seguridad como intercambio, la importancia de la información asimétrica en los mercados, los costes de cambios en tecnología, etc.

Y, para finalizar, no olvidarnos de la reflexión que hizo sobre el concepto de externalidad y que comenté en el blog de empresa.

26 marzo 2008

Hoy la cosa va de referencias...

Pues sí, parece que todos se han puesto de acuerdo hoy... así que adjunto aquí el link al comentario en el blog de INTECO en relación al evento en que participé en Palencia.

Básicamente, el asunto es que
no es lo mismo asustar que alertar...

Reflexiones sobre el eCommerce

El pasado domingo, en la edición de Bizkaia de El Mundo se han hecho eco de unas reflexiones sobre el fraude on line. En conclusión: "El usuario debe aplicar las cautelas de su vida real a la vida digital"

Link al artículo.

24 marzo 2008

Cambio de look

Que sí, que sí... que no os vayáis, que no os habéis equivocado, este sigue siendo mi blog, el de Antonio Ramos: Carpe Diem.

Lo único que ocurre es que le hemos cambiado un poco la apariencia. Vía Tic&Tac, conocí de la existencia de BTemplates y me he animado. Después de recurrir al consejo de mi experta en imagen (eso va por ti, Sonia), he cambiado la imagen del blog para hacerla un poco más personal...

En fin, solo decir que espero que os guste... a mi sí...


19 marzo 2008

El futuro de la industria de seguridad: ¿no-futuro?

Lo cierto es que llevaba un tiempo sin leer el blog de Bruce (lo reconozco), pero haciendo un repaso hoy, me encontrado con esta reflexión: "Security Products: Suites vs. Best-of-Breed" y no he podido resistirme a comentarla (además le debía a Mario un comentario en este mismo sentido, así que mato dos pájaros de un tiro).

Lo más jugoso de la reflexión del amigo Bruce:

"Honestly, no one wants to buy IT security. People want to buy whatever they want -- connectivity, a Web presence, email, networked applications, whatever -- and they want it to be secure. That they're forced to spend money on IT security is an artifact of the youth of the computer industry. And sooner or later the need to buy security will disappear."

Aunque suene un "poco" fuerte, la verdad es que no está exento de razón.

Todos asumimos sin ningún problema que el uso de las TIC es un servicio y que, como tal, se ha de gestionar (véase ITIL sino). No solo eso, sino que cada día que pasa, las TIC ya no son un factor diferenciador que te permite adquirir una ventaja competitiva, sino que son un factor necesario: Sin él, no tienes nada que hacer. Es decir, se está convirtiendo en una commoditie. Es cierto que no podemos generalizar y que existen elementos dentro de las TIC, los más pegados al negocio, que no son así... que son específicos y que aportan una ventaja competitiva pero, desde luego que son un subconjunto menor de las TIC.


Por tanto, estamos asimilando las TIC a cualquier otro suministro básico como pueda ser el agua, el gas o la electricidad. Y, al igual que estos suministros, en sus comienzos, cada uno se encargaba de sus propios suministros pero, con el tiempo, pasaron a ser proporcionados por terceros (en outsourcing), sin problemas.

Ahora bien, cualquiera de estos suministros están sujetos a unas condiciones de seguridad por las que nosotros, sus usuarios, "no nos preocupamos". Es decir, sí que me preocupo si tengo picos de tensión o sabor en el agua, pero no me ocupo de ello: Simplemente exijo unas condiciones de seguridad mínimas. Y entonces, ¿por qué no puedo actuar igual frente a los proveedores de servicios TIC? ¿Por qué no puedo exigir una red sin caídas? ¿Por qué no puedo exigir unas comunicaciones sin virus / spam / malware? ¿Por qué no puede pedir, por contrato, la ausencia de bugs? ¿Por qué no puedo requerir de mecanismos de autenticación incluidos en el propio servicio?

Yo creo que es por aquí por donde van los tiros... La verdad es que no me gusta esto de jugar a adivino, así que el tiempo nos dirá.

Desayunamos con otro robo de tarjetas

Via DarkReading, leo que en EE.UU., una cadena de supermercados (Hannaford Supermarkets) ha sufrido el robo de 4,2 millones de tarjetas en los últimos tres meses y medio (desde principios de diciembre de 2007).

Lo más curioso de esta situación es que parece que Hannaford no almacena los datos de titulares de tarjetas (!). Están investigando cómo ha sucedido y estaremos atentos a su resolución: En principio apuestan por una interceptación de las comunicaciones con el sistema de autorización... En fin ya veremos.

Un aspecto interesante es que la propia industria parece que empieza a moverse hacia una situación en que esta información sea cifrada desde el origen... ¿alguien ha oído habla de la Solución Normalizada de Cifrado de Pista?

18 marzo 2008

Mujeres y hombres somos distintos

¡Menuda perogrullada!, ¿verdad? Pues claro que somos diferentes...

Leo, vía 'El Blog Salmón', los resultados de un estudio realizado por Grupo Actual, Randstad y la Facultad de Psicología de la Universidad de Oviedo sobre el perfil de personalidad de los trabajadores actuales (o sea, todos nosotros). Sobre todo, me han resultado interesante la comparativa entre hombres y mujeres (más que entre los jóvenes y los menos-jóvenes).

Aunque en mi empresa estamos todavía un pelín lejos en el asunto de la paridad, la verdad es que, en mi área, hay un número elevado de mujeres. No sé si es porque mi madre hizo bien su trabajo (siempre ha dicho que las más machistas son las madres que educan a sus hijos en esa mentalidad) o porque la experiencia de trabajar con mujeres siempre me ha ido muy bien, lo cierto es que creo que este estudio dice verdades como puños. Ya sabemos que después, cada persona es diferente y que no se existen verdades absolutas pero, lo cierto es que, como regla general:
  • Las mujeres demuestran un elevado compromiso con finalizar lo que empiezan, sin dejar flecos y un elevado espíritu de esfuerzo, dejan menos a la improvisación y se fijan más en los pequeños detalles, además de presentar mayor cercanía con sus superiores, apoyándoles en todo lo necesario.
  • Por su parte, los hombres estamos más interesados en alcanzar puestos directivos y nos estimula controlar el trabajo de otros desde la posición de líder. Por contra, somos más ágiles en la toma de decisiones rápidas, somos más creativos y aportamos mayor cantidad de soluciones originales.
Por tanto, todos tenemos nuestras cosas buenas y nuestras cosas malas, por eso, lo mejor es contar con un mix equilibrado que nos permita aprovecharnos de la variedad. Como decía Aristóteles, "la virtud está en el justo medio".

Cada vez más SaaS

Vamos por partes... Lo primero qué es esto de SaaS. Fácil: "Software as a Service". Y lo segundo, lo que me interesaba comentar: Llevamos tiempo con el run run de que algo está cambiando. Y es que, cada vez son más los que deciden poner a disposición de los usuarios en Internet su software, bajo el modelo de servicio.

Quizás los casos más paradigmáticos (no los únicos, claro está) sean Google y Salesforce.com. Y como ejemplo Blogger (que es lo que utilizo para postear). También parece que un gigante como SAP, está en ello, pero lo que deja claro que esto es una tendencia en toda la regla es el movimiento de Microsoft en esta misma línea, ya que acaba de lanzar un servicio online para compartir documentos ofimáticos. Se denomina Microsoft Office Live Workspace y nace, como Dios manda en la Web 2.0, en versión BETA.

Tengo que decir que me recuerda mucho a SharePoint pero tampoco pasa nada... Yo lo uso habitualmente y hay que reconocerle su utilidad.

Para mi es muy interesante, porque el proyecto más importante en el que estoy trabajando está basado en la filosofía del software como servicio y cuando empezamos a trabajar en ello no lo teníamos muy claro y poder observar esta tendencia nos da a todos los que estamos trabajando en ello, bastante tranquilidad.

En definitiva, parece que el asunto de SaaS ha venido para quedarse y quien sabe, quizás es lo que está detrás del interés de Microsoft por Yahoo, ¿no?

16 marzo 2008

No hagan caso... son rumores

Llevamos un tiempo (la verdad es que demasiado) viendo cómo cambiamos la organización de mi empresa para adecuarnos a los tiempos que nos esperan (seguimos con crecimientos del 60% anuales y cada vez más orientados a servicios que a proyectos) y eso está dando lugar a todo tipo de rumores entre las personas a lo largo y ancho de la empresa...

¡Qué decir! La culpa la tenemos nosotros por alargar esto tanto tiempo, pero por otra parte, ¡hay que ver que malos son los rumores! Me recuerda a cuando jugaba al teléfono "escacharrao" de lo que era al principio a lo que llega al final... ni parecerse... Me ha recordado un post bastante coherente publicado en Pymes y Autónomos.

En fin, solo quería decir que "no hagan caso... son rumores":



15 marzo 2008

Basura digital

Sí... ya lo sé. Ya sé que tengo pendiente la entrada sobre la charla de Bruce en el ISMS Forum... Para cuando la escriba, seré abuelo ;-).

En fin, me lo han recordado 2 noticias que he leído (aquí y aquí) sobre el aumento de información (mucha de ella inservible, aka. "basura") porque Bruce comenta habitualmente el hecho de que esta circunstancia será una de las consecuencias de esta nueva Era de la Información en la que nos movemos, al igual que la contaminación es una de las consecuencias de la Revolución Industrial.

Cada vez se oyen con más fuerza las opiniones / ideas sobre las TIC ecológicas (la última vez esta semana en la jornada que tuvo en el Club de Roma) y es que nuestros descendientes nos recordarán por cómo gestionemos esta info-polución...

Una parte o el todo

Hace unos días (demasiados quizás) hablábamos sobre la seguridad en las Infraestructuras Críticas y como enfocar la situación. Pues bien, parece que no es tan descabellado, sobre todo si pensamos en la multitud de países que cuentan con oficinas (agencias) dedicadas a la protección de dichas infraestructuras y viendo noticias, como ésta o ésta, en la que vemos que los ciber-ataques no son un mito y, además del super-conocido de Alemania, los gobiernos de Australia y la India también reconocen haber sufrido ataques desde Internet.

La verdad es que esto se parece cada vez más a una película de ciencia-ficción, pero no está tan lejos de la realidad, ¿verdad?

16 febrero 2008

Me voy a Palencia... a GLOBALTECH 08

Así es, AETICAL, la Federación de Empresas de Tecnologías de la Información, Comunicaciones y Electrónica de Castilla y León me ha invitado el próximo día 19 al primer GlobalTech del año que ha organizado en Palencia.

Me han pedido que hable sobre "La gestión de incidentes y los Planes de Continuidad de Negocio" y, dado que el foro serán, sobre todo, empresas "del sector" vamos a intentar cambiar el lenguaje y enfocarnos en el negocio... ya veremos que suerte tenemos...

¡Nos vemos en Palencia!

10 febrero 2008

Nuevo blog de INTECO

Hace unos días me sorprendió gratamente recibir un correo del Observatorio de Seguridad del INTECO por aquello de regalarme el oído al "haber sido identificado como un blog interesante por sus contenidos y dinamismo" (esto último, un poco dudoso, si me seguís habitualmente). Evidentemente, el objetivo era hacerme llegar el último estudio sobre seguridad en las PYMES para que me hiciera eco... hecho.

Estuve investigando un poco y he visto que también se han añadido al mundo blogger con un blog dedicado a la Seguridad de la Información, así que... ¡Bienvenidos y enhorabuena por animaros!

La seguridad en Infraestructuras Críticas

No sé muy bien cómo todavía, el otro día se me ocurrió pensar que esto de las infraestructuras críticas del país no es un tema muy diferente de lo que son las infraestructuras críticas en el ámbito empresarial. Me explico: Es tan sencillo como asimilar el país a una gran organización/empresa. Estamos acostumbrados a realizar estudios de impacto (BIA por sus siglas en inglés - Business Impact Analysis) a la hora de preparar planes de contingencias o planes de continuidad de negocio, sin embargo, ¿estamos haciendo lo mismo para las infraestructuras críticas?

Hacer este símil, por una parte, me ayuda a crearme un esquema mental de cómo se podría afrontar este tema. Por otra parte, me da un miedo terrible pensando en las dificultades que existen normalmente en las empresas para abordar la elaboración de este tipo de planes. Y esta reflexión, se hace aún más evidente cuando pienso en que muchas de esas infraestructuras estarán siendo gestionadas en outsourcing por terceros que:
  • No tendrán en el contrato (en su concepción más amplia) por el que gestionan dichas infraestructuras ninguna cláusula relativa a medidas de seguridad. Además de que muchas de estas infraestructuras se utilizarán para dar servicios en ámbitos liberalizados (transportes, comunicaciones, etc.)
  • Serán empresas con ánimo de lucro en las que las hipotéticas medidas de seguridad estarán consideradas como un gasto operativo que disminuye sus beneficios.
  • Posiblemente, no sepan que están gestionando una infraestructura crítica.
En fin, un panorama un poco "chungo" si nos ponemos a pensar en las posibles consecuencias. Ya que, aunque en el ámbito privado limitamos el análisis a la disponibilidad de los sistemas, en este caso tendríamos que analizar las criticidad desde múltiples perspectivas (se me viene a la mente aquella polémica hace años cuando alguien consideró un partido de fútbol como bien de interés social), incluyendo comunicaciones, transportes, energía, defensa, fabricación y distribución de bienes básicos... en fin, un análisis extremadamente complejo.

Además, si somos coherentes con nosotros mismos y mantenemos que la seguridad debe estar en la agenda del Consejo de Administración, ¿qué hemos de proponer?, ¿que la seguridad esté en la agenda del Consejo de Ministros? Supongo que sí (y si es un tema que lidera el mismísimo Presidente del Gobierno, pues mejor que mejor).

09 febrero 2008

¿Qué les pasa a las empresas cuando crecen?

Esta semana ha sido bastante intensa en cuanto a visitas "comerciales". Eso ha hecho que me plantee los problemas que surgen en las organizaciones según crecen.

Supongo que es ley de vida, todos los sistemas cuando van creciendo, evolucionan. Igual que un niño cuando crece solo se parece al bebé que fue, las empresas cuando crecen también cambian.

Pero debe existir algo en el fondo que no cambie. No es mi intención ponerme místico, pero vendría a ser algo así como el alma, la esencia de esa persona (de esa empresa). Y no puede cambiar porque si cambia, entonces ya no es la misma persona, la misma empresa.

Abundando en el concepto ese de UTP (Unión Temporal de Personas); cuando un grupo de personas se ponen de acuerdo para crear una empresa, entiendo que se debe a que comparten una idea (una misión y una visión), es decir, coinciden en la esencia de lo que acaban de crear.

A partir de ese momento, si todo va bien, la empresa tiene cada vez más trabajo y tiene (?) que crecer, a veces incluso se incorporan nuevas personas que entienden también esa esencia (pero, ¿la entienden exactamente igual?). Unos ayudan a crear estructura para seguir creciendo y otros son accionistas que resuelven problemas típicos de empresa en crecimiento (necesidad de capital) y, ambos, modifican la esencia de la empresa.

Por tanto, esas empresas que nacen de una idea de unos cuántos, va creciendo y según crece, los estímulos externos modifican su personalidad (como si de un adolescente se tratara)... La pregunta que me hago es la misma que se hizo Peter Pan, ¿merece la pena crecer o es preferible continuar siendo un niño forever and ever?

La verdad es que no tengo respuesta... Pero mi preferencia (lo siento soy Cáncer y por tanto un soñador nato), sería continuar siendo un niño. Por otra parte, supongo que esto no es factible en el mundo en que vivimos, ¿o sí?

08 febrero 2008

Disculpas y novedades

La verdad es que no tengo disculpa... más de un mes sin escribir... en cualquier caso, mi más sinceras disculpas para los que me leéis de vez en cuando.

Después de disculparme por no escribir, comentaros alguna novedad. Aunque no escribí durante este tiempo, no significa que no estuviera haciendo nada, ejem... Una de las cosas que he decidido es utilizar una dirección un poco más significativa, así que me decidí por antonio-ramos.es y estoy en proceso de mudanza. Espero que me sigáis encontrando fácilmente porque este paréntesis no es que haya abandonado...

03 enero 2008

La seguridad y la percepción de control

Uno de los principios fundamentales sobre los que se basa el control interno en cualquier organización es el hecho de que la percepción de control es uno de los elementos más eficaces para evitar conductas, actos no deseados. Basta con informar a los usuarios de nuestros sistemas de información de que vamos a hacer una clasificación con el Top10 de consumidores de ancho de banda para que todo el mundo se retraiga en las descargas desde Internet.

Ahora bien, si el control que utilizamos está mal diseñado y no permite realizar adecuadamente esa clasificación o existen resquicios por los que escaparse, estamos perdidos: La consecuencia será justo la contraria. ¿A qué se debe esto? Básicamente, al componente psicológico que tiene la evaluación del riesgo (y por ende, la seguridad). Por eso, no puedo estar más de acuerdo con la tribuna que ha escrito Santiago Grisolía, presidente ejecutivo de los Premios Rey Jaime I, sobre los controles de seguridad en los aeropuertos.

Y es que, los controles de seguridad de los aeropuertos están perfectamente mal diseñados y son una muestra de lo que nunca haría un experto en seguridad:
Establecer controles ineficaces (porque no consiguen lo que pretenden) e ineficientes (por los costes que generan) que dificultan a los usuarios y entorpecen la prestación del servicio. Pero sobre todo, lo peor, es que generan la sensación contraria a la deseada: Se supone que esos controles persiguen transmitir a los usuarios una sensación de seguridad pero lo que consiguen es justo lo contrario; como todos sabemos de los grandes fallos que presentan, a los que volamos habitualmente solo nos queda rezar (o lo que sea) para que nuestro avión no sea uno de los "elegidos" porque, desde luego, como tengamos que depositar nuestra confianza en los controles de seguridad de los aeropuertos, lo llevamos claro (que diría un castizo).

Supongo que lo trágico de los incidentes que ocasionaron todas estas medidas justifica la situación, pero creo que, pasado cierto tiempo, se impone una reflexión entre los organismos responsables de estas medidas que permitan contribuir de mejor manera al objetivo que se persigue de dotar de una mayor nivel de seguridad a los viajes en avión.

La definición y el diseño de controles de seguridad (creo que todos estaremos de acuerdo) no puede ser tal que impida o dificulte que una organización cumpla sus objetivos (su meta). Y estos controles de seguridad, creánme, no ayudan a fomentar los vuelos en avión, por ejemplo, frente a la competencia de la Alta Velocidad... solo una reflexión para finalizar: ¿Por qué los controles de acceso son tan diferentes en los aeropuertos y en las estaciones de tren cuando ambos medios de transporte han sufrido (al menos en nuestro país) el terrorismo de igual manera?

02 enero 2008

El canon digital o el control de acceso a la información

En este último mes ha sido sin duda uno de los asuntos estrella (y no digo que no sea para tanto). No obstante, en mi opinión, se trata más de un tema de forma que de fondo, ya que las mayores críticas al planteamiento actual del canon se deben, no tanto a su existencia, sino a que afecte por igual a todos los soportes con independencia de su utilización final.

Para mi, como consultor, la propiedad intelectual es mi único activo, ya que no me dedico a vender mis horas (en cuyo caso, el activo sería mi cuerpo - no quiero ni siquiera reflexionar sobre este asunto), sino mi conocimiento, mi forma de resolver asuntos complejos de una forma creativa, eficiente y eficaz (gracias Mario). No digo que en otros ámbitos la propiedad intelectual no sea importante, pero en esta profesión habría que proteger hasta las ofertas de servicios profesionales: ¿Cuántas veces nos hemos encontrado con que nuestras ofertas caen en manos de la competencia que las plagian vilmente y las ponen en el mercado como suyas? En una profesión en la que vendemos, básicamente, intangibles, el hecho de que el papel lo soporte todo y no haya forma de proteger esa metodología, ese know-how hace mucho daño (pero bueno, eso da para otro post sobre el modelo de consultoría tradicional).

De lo que yo quería hablar hoy es que, en estos días de "relax" navideño me he encontrado pensado en la gran similitud que tiene en el fondo el 'canon digital' y el 'control de acceso a la información'. Y es que creo que en el fondo, se trata del mismo asunto: Restringir el acceso a determinada información (esté en el soporte que esté y sea del tipo que sea) a determinados usuarios. En el caso del canon, queremos que sólo aquellas personas que hayan adquirido los correspondientes derechos puedan visualizar, escuchar, leer... nuestra obra. En el caso del control de acceso en los sistemas de información queremos que accedan a la información aquellos usuarios que 'necesiten saber' (ya sabéis, el famoso 'need to know') salvando la problemática de distintos entornos y distintos soportes (USB, PDAs, PCs...).

Sea por el motivo que sea, estamos ante una situación que, evidentemente, no está resuelta desde el punto de vista tecnológico, puesto que nos vemos obligados a establecer un canon tipo café para todos y, porque el control de acceso a la información es UNO de los más importantes retos, por no decir, EL reto para el futuro cercano.

Y es que, Internet también está evolucionando. Ha pasado de ser un mero canal de comunicación a definir nuevas formas en las que las personas interactúan (la participación, la web 2.0, etc, etc.) Me gusta mucho la forma en la que lo definen en el JERICHO FORUM (gracias, Gianluca por la referencia): la palabra que ellos utilizan es 'desperimetrización' (en inglés, de-perimeterization) y lo que pretenden expresar es cómo la evolución de Internet hacia un mundo mucho más global, sin fronteras cerradas y mucho más interconectado influye en la forma en la que la industria de la seguridad debe cambiar las soluciones que propone. Ya es patente la preocupación por la privacidad en este entorno, pero existen otros ejemplos patentes, como es la evolución del fraude o del ciber-terrorismo, pero la protección de la información es otro ejemplo claro.

No me queda más que desear mucha suerte a esta iniciativa y seguirla de cerca...