Auditor de protección de datos

En mi opinión es algo así como decir, vendedor de coches (con todos mis respetos a los vendedores de coches). Lo que quiero decir es que no existe nada, ninguna acreditación que establezca claramente quién puede ser considerado como "auditor" en esta materia. Esto ha dado lugar a la ploriferación de auditores que han aprovechado el maravilloso caldo de cultivo creado por el regulador en esta materia:

Artículo 9 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD, para los amigos): Seguridad de los datos.

1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Es decir, que hay un reglamento que desarrolla las medidas a adoptar, efectivamente así es y se publicó mediante Real Decreto 994/1999. Se trata del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal (aka. RMS). En concreto, en su artículo 17. Auditoría podemos leer:

1. Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.
2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglam ento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
3. ...

Y se acabó. Esto es todo lo que se habla sobre este asunto.

Nos encontramos entonces con una legislación que obliga a establecer una serie de medidas de seguridad, entre ellas, la realización de una auditoría bienal (que no, bianual) para los datos de nivel medio y alto (es decir, para todos aquellos que exceden los simplemente identificativos de una persona). Si tenemos en cuenta que hasta ahora, esto incluía a la gran mayoría de datos de personal de las organizaciones (bien porque incluía datos de minusvalía de los trabajadores para aplicar una retención fiscal más favorable o información sobre su afiliación sindical para el pago de las cuotas) resulta que una gran parte de las empresas y organismos de cualquier tipo de este país eran o debían ser objeto de esta auditoría. Evidentemente, un mercado muy, muy apetitoso para cualquiera. Y ya sabemos lo que ocurre con un mercado en el que se prevén beneficios: Básicamente que entran competidores hasta que el beneficio es igual a '0'.

Por una vez, la economía que estudié en su momento no se ha equivocado y esto es justo lo que nos encontramos en este mercado: Están entrando "auditores" e incluso, me ha parecido ver algún vendedor de coches (¿o era de motos?)...

No bromeo. Me parece bien que ninguno de los sucesivos Gobiernos (desde 1999) haya querido regular la figura del auditor para que fuera el mercado el que se regulase. Por otra parte, apoyados por la UE que tampoco ha lanzado ninguna iniciativa en ese sentido (que yo conozca). Lo que no entiendo es porque el Gobierno se exime de su papel como garante último del derecho a la privacidad y permite que cualquiera que diga que lo es, realice y firme auditorías de cumplimiento con el RMS, dando a los ciudadanos una falsa sensación de "tranquilidad" en este asunto. ¿Qué impide que mi primo Francisco, un tío hecho y derecho, honrado hasta la médula, firme un informe de auditoría a ACME Corporation diciendo que cumple con las medidas establecidas en el RMS? ¿Qué ocurre si es mentira? ¿A dónde me dirigo a buscarle? En fin, un sinfín de preguntas que podríamos encadenar hasta el infinito...

En definitiva para ir acabando, ¿por qué no se puede crear y mantener por la Administración un registro de auditores reconocidos? Así dicho podría parecer una banalidad, pero es que, además es real. Esto ya ha pasado antes: Cuando se aprobó la Ley de Auditoría de Cuentas, junto con la figura del auditor, se crearon, el Instituto de Contabilidad y Auditoría de Cuentas (ICAC) y el Registro Oficial de Auditores de Cuentas (ROAC). Para acceder a este registro es necesario acreditar unos conocimientos y una experiencia ante el propio ICAC que realiza exámenes periódicos y mantiene dicho registro actualizado.

Pues bien, cuando se creó la LOPD, también se creo una Agencia Española de Protección de Datos (AEPD) pero... ¡oh, sorpresa! no se creó el equivalente a ese registro de "auditores de protección de datos" dando luz verde al nacimiento de esa figura mitad vendedor, mitad primo mío que campa a sus anchas por esos mundos de Dios, ofreciendo auditorías (incluso con rebajas).

En definitiva, creo que el legislador se equivocó. Se equívoco sobremanera al no regular esta figura y lo que es peor, sigue en una postura absurda de "mantenella y no enmendalla" que no se puede comprender después de la experiencia que atesora este país en esta materia. Supongo que todo es porque cuando un auditor falla, no emprendemos acciones legales contra él y, en caso de que fuera insolvente, no hacemos responsable civil subsidiaria a la Administración Pública.

Libro recomendado

Casi se me olvida. Hace 2 meses, se ponía a la venta el libro "Gobierno de las Tecnologías y los Sistemas de Información" publicado por la Editorial RA-MA.

Se trata de un libro divulgativo, promovido por el capítulo de Madrid de ISACA, en concreto por dos miembros de la anterior Junta Directiva del capítulo, Fernando Hervada y Mario Piattini, y en el cual, he tenido el placer y el honor de colaborar.

Quizás haya dicho muchas cosas sin explicarlas. Para los que no conozcan ISACA, se trata de una Asociación estadounidense que viene funcionando desde finales de los 60, en un principio, orientada a la auditoría y control de los Sistemas de Información y, últimamente, enfocada en el buen gobierno de las Tecnologías y Sistemas de Información.

Actualmente cuenta con más de 65.000 asociados a lo largo de más de 70 países por todo el mundo y organizados en "capítulos" (en inglés, chapters). Estos capítulos se crean en distintas ciudades (existen alrededor de 170) y pretenden dotar de cercanía a la labor de la asociación. Pues bien, en España (si no me equívoco) contamos con 3 capítulos (el mencionado de Madrid - el más antiguo, Barcelona y Valencia). Yo pertenezco al de Madrid y, creo que somos ya, más de 400 asociados (no está nada mal) pues, hemos sobrepasado a capítulos como el de Milán, que hace 2 años, nos doblaba en número.

Bueno, una vez explicado todo esto, puedo centrarme de nuevo en el libro ("yo venía a hablar de mi libro"). Como decía, es un libro divulgativo que sirve como introducción a todos aquellos preocupados por el buen gobierno de las TIC. ¿En qué consiste este problema? Pues bien, no es ni más ni menos, que la equivalencia de lo que ocurre a nivel corporativo, la creación de un modelo de gestión que permita alinear la estrategia de Sistemas de Información con las estrategias de negocio. En el libro se dan algunas orientaciones y se explican los conceptos generales que se promueven desde ISACA para mejorar en este área.

En concreto, mi aportación son 2 capítulos:

• Capítulo 5. Visión general del gobierno de la seguridad
• Capítulo 8. Cuadros de mando para el gobierno de TSI

Como veréis, temas de los que más me interesan, la seguridad y los cuadros de mando, es decir, la gestión de la seguridad.

Para finalizar, solo decir, que debo dar las gracias a mi empresa (ya sabéis, S21sec) por haber contribuido a la edición del libro (nada más y nada menos que junto a un gigante, Telefónica).

PCI - DSS: Una realidad

Ya he comentado anteriormente algo en relación al estándar creado por las marcas de tarjetas para tratar de evitar los robos masivos de información de titulares de tarjetas: PCI-DSS - Data Security Standard. Lo cierto es que se trataba (obsérvese el tiempo pasado) de un estándar que estaba encontrando muchas dificultades para ser implementado / exigido de forma efectiva en el mercado español.

Al margen de otras particularidades, lo cierto es que el mercado español (no sé si se trata de una característica común de lo latino) se distingue por hacer las cosas, no por ser una best practice, sino cuando son obligatorias (véase, la LOPD). En realidad, como comenta Bruce Schneier, para invertir en seguridad hemos de tener algún tipo de incentivo: mayor rentabilidad, menor riesgo... lo que sea, pero tiene que "compensar" (de nuevo me asalta Goldratt: "Cuando contribuya a obtener más meta para la organización"). Ahora, parece ser que alguna de las marcas de tarjetas ha empezado a imponer multas (algo insignificante... ¡¡¡50.000$/día!!!) a las entidades financieras que no puedan demostrar que los comercios que tramitan las operaciones a través suyo, cumplen con lo requerido en el estándar.

En definitiva, ahora (igual que ocurrió con la LOPD) las organizaciones tienen clarísimo que existe un coste por no cumplir con una norma y pueden valorar el coste de la no-seguridad.

No sé si es bueno o malo. Lo único que sé es que, ahora, a todo el mundo le entra prisa por demostrar que cumple con el estándar (no digo que no lo cumplieran, digo que quieren demostrar que cumplen).

Me llamo Antonio Ramos

Efectivamente, después de darle muchas vueltas, me he decidido: Me llamo Antonio y he sido 'sorani' en este blog.

He estado algún tiempo dándole vueltas y la verdad es que no he encontrado motivos para no dejar el anonimato. La única cuestión que merodea mi cabeza es si podrá surgir algún conflicto de interés con mi empresa (actualmente soy el Director de Consultoría y Auditoría Informática en S21sec), puesto que mi blog va sobre seguridad y es a lo que me dedico en mi empresa.

En cualquier caso, vaya por delante: Las opiniones vertidas en este blog son total y exclusivamente responsabilidad mía y en ningún caso tienen nada que ver con la organización en la que trabajo.

En fin, vaya el disclaimer por delante que luego, nunca se sabe... Aunque estoy convencido de que no habrá ningún problema...

El eslabón más débil de la cadena

A cualquier profesional le suena: "La seguridad es como una cadena, es tan fuerte como el eslabón más débil". Esto lo decimos por varios motivos: Para enfatizar la naturaleza de seguridad como proceso, como sistema, pero también para entender que se trata de una posición de defensa débil, es decir, el defensor tiene que defender todos los puntos, mientras que al atacante le basta con encontrar un punto vulnerable para tener éxito en su ataque.

Sin embargo, aunque todos estamos convecidos de que esto es así, muy pocos (por no decir, ninguo) gestionamos este proceso conforme a esta máxima. ¿Por qué digo esto? Porque si gestionáramos la seguridad teniendo este paradigma in mente, lo mejor sería emplear la misma estrategia que cualquier otro sistema cuya producción esté gobernada por su factor limitante. Me explico, después de identificarlo, habría que hacer que este factor limitante produjese al máximo nivel.

Esta forma de gestionar la seguridad cambiaría sobremanera el enfoque actual del proceso de gestión. Si seguimos lo establecido en los estándares, por ejemplo, el archi-conocido ISO/IEC 27001 que establece las pautas para montar un Sistema de Gestión de la Seguridad de la Información (SGSI) "certificable", tenemos que (como ya hemos comentado aquí anteriormente) llevar a cabo un análisis de riesgos que nos permita identificar el nivel de riesgo por cada área o dominio del alcance establecido y pasar a gestionar el riesgo en función de la estrategia definida.

Si planteamos la seguridad como un sistema en el que el output fuera el nivel de seguridad de la organización (parece obvio, ¿no?), el máximo nivel estaría marcado por el máximo caudal que pudiera gestionar el cuello de botella del sistema, es decir, el nivel de seguridad de la organización sería el del eslabón más débil de la cadena...

¿Cuál es la diferencia entre estas dos maneras de gestionar la seguridad? Según yo lo entiendo, la diferencia es que no tendría tanto interés realizar un análisis de riesgos como el hecho de encontrar cuál es el factor limitante, cuál es el eslabón más débil, puesto que sería el que marcaría el nivel de seguridad de nuestra organización. A partir de ahí, si quisiéramos elevar el nivel de seguridad de nuestra organización, lo que tocaría sería gestionar esa limitación y eso, ya se sabe, hay que preguntarle a Goldratt el cómo...

Y luego dicen que los estándares no sirven para nada

Cuando a cualquier persona le imponen algo, normalmente nos parece mal, aunque sea "por nuestro bien", ¿verdad? No hay más que recordar los casos del tabaco, el alcohol, etc...

Pues lo mismo pasa en el mundo empresarial. Dos ejemplos claros son la legislación en materia de protección de datos de carácter personal o, más últimamente, la iniciativa de VISA y MasterCard para proteger los datos de titulares de tarjetas de crédito, el Payment Card Industry - Data Security Standard [PCI-DSS] (ahora adoptado por el PCI Security Standards Council).

Pero la verdad es que cuando el río suena, agua lleva. Si se promueven estas iniciativas, ya sea por la Administración, ya sean por el ámbito privado, es porque existe algún tipo de circunstancia preocupante que hace falta controlar. Otra cosa es si esa normativa es justa, excesiva o acaba regulando actuaciones totalmente correctas y dificultando el día a día de las organizaciones.

Y para muestra, baste un botón: El pasado 21 de febrero, TJX (grupo de empresas de moda con más de 16 mil millones de dólares de ingresos en 2005 y más de 2.500 tiendas en EE.UU., Canadá y Europa agrupadas en 8 marcas distintas) reconocía que habían sufrido una intrusión en sus sistemas de información que, según la información de Europa Press del pasado 29 de marzo, había resultado en el robo de... ¡¡¡45,7 millones de tarjetas de crédito de clientes!!! (un dato para comparar: según el INE, la población española a 1 de enero de 2006 era de 44,7 millones de habitantes).

Y lo peor de todo es que no ha sido algo puntual, sino que este robo se ha producido en repetidas intrusiones desde 2003. Después de estos datos, es más fácil que comprendamos por qué es necesario este estándar, de hecho, lo que nos deberíamos preguntar es: ¿Por qué las organizaciones no protejen adecuadamente esta información confidencial (tanto desde la perspectiva financiera como personal) y es necesario que alguién les obligue a establecer unas medidas de seguridad mínimas?

Pues muy sencillo, porque como mantiene Bruce Schneier, la seguridad es una inversión que está sujeta a las mismas reglas que cualquier otra inversión en el entorno empresarial, a salir bien parada de un análisis coste-beneficio. ¿Y qué ocurre con la seguridad? Pues que, a menos que existan multas, penalizaciones, sanciones, etc. que hagan subir el coste de la no-seguridad es difícil que sea "rentable" para una empresa invertir en seguridad.

Así que, gracias. Gracias a esas normas y a las organizaciones que las promueven por contribuir a un mayor nivel de seguridad (aunque sea a base de multas y sanciones).

Lo sé. Es triste, pero es así.

Actualización: El coste del incidente se eleva ya a 118 millones de dólares.

Normativa en la utilización de los sistemas

Estaba visitando la web del Senado por otros temas (entre otros para saber dónde estaba) cuando me he encontrado con algo que no me esperaba.

...

¡¡¡Una Normativa para el uso de los sistemas de información!!! Casi no me lo podía creer. Se me han caído dos lágrimas de la emoción. Lo que siempre dicen las teorías, las best practices de esto de la seguridad, hecho realidad (y además, desde 2004).

Toca bastantes temas:

1. El equipamiento informático - No es del usuario, por lo que no se puede modificar.
2. Tratamiento de la información - Ojo con lo que se gestiona, sobre todo, datos personales.
3. Soporte y mantenimiento - Hay que canalizar las peticiones y, quizás, acceder en remoto.
4. Seguridad y Control - El usuario tiene que cumplir con las medidas de seguridad y, en particular, utilizar contraseñas de calidad.
5. Salvaguarda de la información - Que será responsabilidad del usuario (la verdad es que se podrían herramientas de ayuda).
6. Acceso a Internet - Ya se sabe, para uso profesional.
7. Utilización del correo electrónico - Idem. pero con la posibilidad de contar con una dirección distinta para uso personal.
8. Cumplimiento - Para todos los usuarios de los sistemas del Senado.

En definitiva: Mi más sincera enhorabuena a los autores / promotores, la Dirección de Informática de la Secretaria General del Senado y, por supuesto, a los que la han aprobado, la Mesa del Senado.

¿Hacemos un Plan Director? (I)

La verdad es que está de moda.

Y eso debería hacernos sentir más felices: Vendemos más, tenemos trabajo asegurado y cumplimos las cifras esas de las que hablábamos antes. Pero como soy un apasionado de lo que hago, resulta que, aún así, no estoy feliz. ¿Por qué? Muy sencillo, porque la mitad de los Planes Directores de Seguridad que se hacen (siendo generoso) no sirven para nada. Y de esa mitad que no sirven para nada, la mitad es porque el que lo hace no aporta nada y la otra mitad es porque el cliente no está preparado.

Hoy nos centraremos en uno de estos casos: Aquellos en que se hacen por alguien que no aporta (no aportamos) nada. En estos casos nos encontramos con un escenario en el que, con independencia de que la organización estuviera preparada o no (eso ya hemos quedado que lo veremos otro día), se ha seguido el enfoque "académico". Ese enfoque dicta que para hacer un Plan Director de Seguridad hay que hacer un análisis de riesgos, para evaluar la seguridad cogemos un estándar (siempre el mismo, la UNE-ISO/IEC 17799:2005) que reuna todo lo que se puede hacer en seguridad (?), definimos una estrategia de gestión del riesgo y para acabar, metemos todo eso en la coctelera, y preparamos el Plan de Proyectos. Todo esto ha sido muy resumido y sin florituras, cuando se hacen ofertas, todo se adorna bastante más.

Y yo me pregunto, ¿quién ha dicho que esto se hace así? Pues muy sencillo, porque esto está en línea con las directrices de un Sistema de Gestión de la Seguridad de la Información (SGSI para los amigos) conforme a otro estándar (ISO/IEC 27001:2005) y como todos en el mundo de la Consultoría nos dedicamos a copiarnos (excepto alguno que piensa de vez en cuando), pues resulta que acabamos todos con el mismo mensaje y como corderitos, todos por la misma senda.

Y, ¿cuál es la realidad de todo esto? Pues que el que lo hace, en lo que está realmente interesado es en quedarse con la "implantación" de las medidas de seguridad que se obtienen como resultado del Plan y entonces, está como loco por incrementar el número de proyectos de forma descarada sin importarle ni la situación de la organización ni sus planes, ni nada de nada. Vamos, que como dice una buena colega, casi podíamos empezar por el final, por el plan de proyectos e ir construyendo hacia atrás, hasta el análisis de riesgos.

Lo malo de todo esto es que cuando hemos acabado, nos damos cuenta de que hemos consumido un buen montón de recursos (y aquí el presupuesto es lo que menos cuenta... importa más el tiempo de las personas), que hemos generado un montón de expectativas en la organización y que no vemos que realmente ese plan refleje nuestra realidad, ni nuestra cultura ni nuestros planes de futuro. Y cuando decimos tiempo, es un MONTÓN de tiempo: 4, 5, 6 meses... En fin, todo un despilfarro.

Por eso creo que tenemos que darle la vuelta, tenemos que innovar, tenemos que satisfacer las verdaderas necesidades de nuestro cliente. Y para eso, es necesario que cambiemos radicalmente el enfoque: La seguridad es un proceso que (normalmente) da soporte a la organización en el cumplimiento de sus objetivos de negocio y, ahí, es dónde hay que poner el énfasis. Para hacer un buen Plan Director, que yo llamaría estratégico hay que tener en cuenta otras cosas:

• Hay que tener clara la estrategia de la organización: Sus puntos fuertes, sus puntos débiles, sus planes de futuro... Aquí Mario tendría mucho que decir sobre cómo están definidas las estrategias de las organizaciones.
• Hay que contar con el grado de interlocución necesario. Normalmente los que poseen esta información están muy arriba en los organigramas.
• Hay que manejar conceptos de gestión y dirección de empresas (de management) que, a los expertos en seguridad normalmente se nos escapan... (tendremos que fichar MBAs en nuestras organizaciones??)

Vamos, que hay que cambiar la metodología de arriba abajo... Bueno, hay está la gracia, el reto...

¿Alguién se anima? Voy a dar una pista... A mi me gusta TOC...

Consultoría artesana... ¿en una empresa?

El motivo de mi entrada en este mundo de los blogs fue conocer por boca de otros como veían este mundo de la consultoría al que me dedico y, sobre todo, como pensaban que se podía hacer mejor. Y ahí fue donde me topé con el concepto de consultoría 2.0. La verdad es que, viniendo de una de las big four, sabía muchas cosas que no debía hacer, pero sobre cómo hacerlas, tenía bastante menos información y formación, por no decir ninguna.

Así que aquello me empezó a entusiasmar. Creo que al primero que leí fue a Julen:

• "Ética personal y deontología profesional con el cliente
• Respeto como valor clave en la gestión de personas.
• La relación con el cliente.
• Sistemas de incentivos, retribución y reconocimiento.
• Atracción y retención del talento.
• Gestión y formas de compartir el conocimiento.
• Innovación efectiva vs. modas en management.
• Project management en la consultoría."

Y luego al amigo Mario y surgieron otros conceptos que también me interesaron:

• Big four vs. redes
• PMBOK vs. Agile
• Tarifas horarias vs. Price per value
• Contratos vs. Relaciones
• Profesión vs. Vocación
• etc.

Pero siempre he tenido una espinita clavada: Estoy en una EMPRESA, en la que creo en el proyecto, que tiene sus cosas malas pero que me ha dado bastante (quizás menos que yo a ella, ya lo sé) y en la que tengo la oportunidad de hacer consultoría de otra forma pero... ¿es posible? Y justo estando en esta reflexión, llega Julen a echar leña al fuego diciéndonos que ha creado una empresa...Ya no entiendo nada, pero ¿no habíamos quedado en que esto iba de artesanía y yo para mi mismo y cosas por el estilo?

La verdad es que se trata de un asunto complicado. Cuando estás en una empresa te encuentras dentro de una espiral loca de cifras, presupuestos, precios e indicadores que te llevan a estar día tras día, semana tras semana, metido en un proyecto tras otro, ¿por qué? Porque a final del año lo que le importa al accionista es que los números salgan y para eso, te hace falta estar en esa dinámica... ¿o quizás no? Supongo que es un conflicto de esos que nos gustan a los apasionados de TOC que se merece una nube... Debería trabajar en ella. De todas formas se me ocurren un par de supuestos por los que "evaporar" el conflicto:

• Incremetar el valor del servicio y, apoyándonos en ese "Price per value" que comentábamos, aumentar la facturación por persona, de forma que "compremos" tiempo libre para otras cosas: investigar, vida personal, publicar, etc.
• Aumentar la eficiencia del trabajo que hacemos apoyándonos en herramientas para compartir conocimiento y, claro está, fomentar esa práctica entre los consultores del equipo.

En fin, se admiten sugerencias para "inyectar" la nube. Pero, de todas formas, me gustaría dejar una pregunta en el aire: ¿Esa consultoría 2.0 tiene tanto romanticismo implícito que es incompatible con el concepto de empresa?

Un día duro

De repente, me he visto aquí, en un aeropuerto, esperando durante 2 horas a un avión y he pensado: "Caray que vida llevas, compañero. ¿Por qué no lo cuentas en tu blog?" Así que, en esas estamos. La verdad que esta posición de Director de un departamento, conlleva ciertos "inconvenientes". Al final, hay 16 personas que dependen de tí y de que haya actividad suficiente para seguir adelante día tras día y, para eso, acabas asumiendo funciones que no son tuyas y convirtiéndote en una especie de hombre-orquesta.

Así, hoy el día ha empezado a las 5:00 AM cuando ha sonado el despertador (3 veces porque a la primera, no me levanto ni con grúa y, menos a esas horas). Desayunas, te duchas, te pones el traje y ¡venga!... al aeropuerto. 35 minutos por esa maravillosa M40 (así que ya sabéis que vivo en Madrid), eso sí, a 110 km/hora para que no te pille ningún radar, y ya estamos en la T2 de Barajas.

Después de la espera de rigor para embarcar (aunque estaba previsto a las 6:50 AM, acabamos embarcando a las 7:10), a las 7:30 salimos para San Sebastián y, claro, aunque teníamos que llegar a las 8:05, llegamos a las 8:20... cosas de los vuelos. Menos mal que viajamos en un maravilloso, cómodo y moderno MD87. Una vez que aterrizas, pues 45 minutos de coche hasta Aretxabaleta (menos mal que las vistas son espléndidas porque las carreteras...) donde asisto a un seminario sobre Cadena Crítica (si queréis saber más sobre esto, aunque acabaré hablando de ello, os recomiendo la página de Mario que es quién me ha descubierto el mundo de TOC) que organiza la Universidad de Mondragón.

Luego, de vuelta a Donostia, donde recojo a otro compañero y pongo rumbo a Iruña / Pamplona a una reunión con cliente... para hablar de una oferta, de esas que, como dice Julen, ya solo la oferta tenía que costarle dinero. Y ya está; acabas la reunión con el cliente, todo va bien, le gusta y te vas al aeropuerto a esperar tu vuelo y cruzar los dedos para que no se retrase (por cualquier causa, da igual). Encima, todo ha ido bien, has acabado pronto, pero no lo suficiente para adelantar tu vuelo y te encuentras "vendido" durante 2 horas en el aeropuerto. Menos mal que tengo un blog y puede escribir este post... que si no...

Para colmo de mis males, hablo con mi pareja (y futura mujer) y... las celosias del jardín se han caído y yo en Pamplona y no llego hasta las 09:00 PM (si no hay retrasos)..., eso sí, al terminal T4, por lo que cuando llegue, tendré que coger el bus para que me lleve al parking del T2 (vamos, otros 15 minutitos de traslado, como hoy te has movido poco, companyero...)

La verdad es que ha sido un día duro (y lo peor es que hay varios de estos todas las semanas), creo que tengo que hacer algo porque no es un planteamiento a largo plazo seguir así...

Seguro que vuelvo sobre el tema...

Si no vas, no has ido

Acabo de leer "Ir o no ir", el libro de Paco Muro, Consejero Delegado de Otto Walter y me he dicho: "Chaval, ya llevas demasiado tiempo queriendo escribir y no lo haces por temor a no estar a la altura, así que, mejor si te pones a ello y así comprobamos todos si merece la pena o no".

Y dicho y hecho. Aquí me encuentro, en una esquinita del aeropuerto de Noain (Pamplona para los que no lo ubiquen) escribiendo mi primer post en serio.

Lo primero que tengo que decir es que llevo bastante tiempo enganchado a esto de los blogs, (tampoco mucho, la verdad) y he descubierto un mundo alucinante: Sobre todo, un mundo de auténticos apasionados de lo que hacen, cualidad que envidio y con la que me siento totalmente identificado. Precisamente este hecho, el leer con asiduidad a Mario y a Julen, han hecho que haya dudado tanto, tantísimo, en iniciar esta actividad como "bloggero": Había que estar al nivel y eso no es fácil, pero bueno, vamos a intentar aportar mi punto de vista a este universo paralelo.

Porque, como dice el libro de Paco Muro, "si no vas, no has ido" y eso es lo peor que te puede pasar.

Presentación

He pensado que, quizás, lo primero que debiera hacer es presentarme y contar un poco que es lo que pienso hacer con este espacio.

Lo primero que iba a decir es que soy una persona "normal" pero la verdad es que me he arrepentido nada más escribirlo, porque creo que no hay nadie "normal", todos somos un conjunto inmenso de peculiaridades, eso sí, más o menos habituales. Así que he pensado en hacer un poco de historia: Nací en Madrid, en 1973 (o sea que ya paso de los 30) aunque me considero extremeño de adopción.

Pero bueno, quizás lo más importante es decir a qué me dedico y de que pretendo hablar en este blog. Respecto a esto, os puedo decir que me dedico a la seguridad de la información como consultor.

Quizás esto no diga mucho de primeras, pero iremos desgranando (o por lo menos eso espero) qué significa esto de la seguridad de la información en nuevas entradas. También espero que podamos dedicar algunas entradas a otra tarea que me ocupa bastante, la coordinación de un grupo de profesionales y la gestión de proyectos.

En fin, espero ser capaz de ir manteniendo este blog y captar el interés de los que me quieran leer; sobre todo, porque aporte algo a los lectores...

Recién aterrizado

Vamos a ver que tal se nos da este tema... Llevaba tiempo dándole vueltas y, por fin, me he decidido. Espero que sea el inicio de algo interesante...

Saludos a todos.