Archive for September, 2008

El cubo de las contradicciones (Lehman Brothers)

Wednesday, September 17th, 2008

Un programador y ex-empleado de Lehman Brothers publicó así, en su subasta del “Operating Principles Cube (de Lehman Brothers)“, luego que otros subastadores le pirateran su descripción:

“The sellers just cut and pasted my description. It is that just that kind of mindless follow the leader thinking that sank the company. I met many like that. Sorry but they made me mad…. so I had to add….”

Si está enterado de la crisis inmobiliaria en USA y su impacto en las inversiones de bancos, como en el que trabajó el programador citado arriba, entenderá un poco mejor este post. Sin embargo, en ausencia de tanto transfondo, estoy seguro que puede entrever, por las palabras, su disgusto a la contradicción idiológica y práctica de sus ex-empleadores, una contradicción que debemos evitar a toda costa en nuestros proyectos de culturización de seguridad, despliegue de políticas e instalación de controles físicos y lógicos (perimetrales, endpoint y demás).

¿Cuál es la contradicción? Véa la imagen del Operating Principles Cube de Lehman Brothers y examínelo con paciencia.

Para ser más claros aún, vea este otro.

Coincidentemente, esta clase de contradicciones (repetida adrede cinco veces aquí) es a las que me refería en el último párrafo de mi post anterior, cuando señalé “los que tienen el poder“, y esto no porque acá nos consideremos ilesos, sino porque sabemos curar nuestras le”cc”siones, al aportar la máxima madurez a cada uno de nuestros proyectos. Por ello, conviene reflexionar una vez más ¿de qué sirve una política de seguridad bien redactada y un programa de culturización integral, si los mismos líderes de las organizaciones (incluyendo a los de seguridad de la información) no somos congruentes con nuestros actos (de que sirve la prohibición expresa de portar laptops de índole personal, si TI es la primera en romper la regla)? Parafraseando lo señalado por unos de mis mentores, esta mañana en la web, coincido e reafirmo: “Nuestros colaboradores (hijos) se convertirán muy pronto en nuestros jueces”.

Estimado(a) lector(a), es muy probable que Ud. sea un(a) líder de seguridad de la información, por lo que le hago esta pregunta:

¿está preparado(a) para ser juzgado(a) por su propia política?

Con toda sinceridad, desplegar una política o control no es sólo cuestión de hacerlo bajo una sóla perspectiva (usualmente la de TI), sin antes analizar el impacto sobre nuestra misma forma de operar (la de TI misma y de la otras áreas con poder), y hacerlo Ud. solo(a) -sólo por entenderlo- no es suficiente, va ha necesitar ayuda, va a necesitar una cobertura, un poder externo. Si tiene cómo, nuestra sugerencia, recurra a él.

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Posted in Knowledge | 1 Comment »

El reto tangencial de la Generación Y - Parte 1

Monday, September 15th, 2008

Antes de escribir este artículo sobre el reto que significa, para la gestión de la seguridad de la información en las organizaciones, el advenimiento de la Generación Y y sus sucesoras, pensé en mostrar el panorama actual de la “seguridad contradecida y salteada” en las empresas.

Este reto es a causa de la tecnología y capacidad portátil. En sí, el reto ya es una realidad, especialmente con los empleados high-tech que poseen la mayoría de compañías en el mundo. Estos pueden ser desde gerentes hasta tecnólogos, que por su afinidad (y no necesidad) portan sus propios dispositivos de información, que van desde un Pen-Drive, su Laptop, hasta su iPhone (con cámara y micrófono).

Así, hoy en día es sumamente transparente tener a un empleado (en nuestra empresa) equipado totalmente con aparatos “propios” que se usaban en el espionaje de la guerra fría. Por ejemplo, un empleado porta hoy su propia laptop en las oficinas de su empleador, ya sea porque le gusta o porque no le proveen una propia, pero principalmente porque se lo permiten.

Pero, siendo totalmente honestos, prohibirle a un colaborador que porte su laptop personal en la compañía es bastante presuntuoso y ridículo, especialmente si ese colaborador es un gerente o inviduo con cierto poder e influencia en la compañía.

Al respecto, hice mi propia encuesta en un foro privado, y recibí como respuesta, lo siguiente:

(la primera) Requieres una política de seguridad severa y bien respaldada por tu gerente”,
(y la segunda) Instala NAC, yo lo he hecho en mi institución hace meses y no tengo problemas.

Con todo respecto, estas son respuestas bastante objetables.

Por supuesto, en mi opinión eso sólo funciona en las bases militares (por cierto tiempo “tan sólo”), en ciertas organizaciones “severamente” reguladas (quizás ¿HIPAA?) o en donde el gerente quiere ganarse el despido. Entonces, ¿qué hacer ante este problema, especialmente si seremos los primeros en romper la regla?

Siendo sinceros, los que tienen el poder, generalmente son los que gozan de inmunidad, y son los que traen la moda de portar y “conectar” sus propios equipos portátiles a la red de la oficina. Quizás por ello, estos últimos sean los que tengan que afrontar el reto de la generación Y (Parte II más adelante).

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Posted in Knowledge | 2 Comments »

¿Mito o verdad?: El precio lo pongo yo

Tuesday, September 2nd, 2008

Los argumentos de Schneier son correctos en todo sentido. No obstante, cómo le dices a un proveedor que ofrece productos tecnológicos de seguridad, que si en buena cuenta quieres su producto, se lo comprarías al precio detu ecuación costo beneficio.

Creer que lo segundo es utópico es falaz. Ciertamente, se da en toda la industria del hardware y software de seguridad, y aunque -claro- a su tiempo. Productos High-end a precios High-Corporate terminan convirtiéndose en productos Low-end, que hacen lo mismo, sólo que a menor precio, y a otros mercados.

Por ello, aún sin tanta argumentación, no es raro ver a prospectos tecnológicos decirles a sus proveedores el reducir el precio a un 25%, y aún a estos últimos terminar aceptándolo.

¿Viable? No lo crea, mucho cuidado con los cálculos costo-beneficio que (empírica o científicamente) hace, no olvide que los costos de adecuación y de mantenimiento tecnológico pueden terminar (y de hecho así es) por perforarle su billetera, y su cargo ejecutivo, o roer la oportunidad de ascenso.

Finalmente, aunque no es utópico que un vendedor te baje el precio de un producto, si es utópico pensar que éste terminará perdiendo dinero por eso. Cuídese de los costos extras, como dice Schneier, cuídese de los proveedores con una “agenda” bajo la manga, aquellos que no pueden guardar imparcialidad por estar ligados a otros compromisos (especialmenter con terceros “los fabricantes de productos”).

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Posted in Knowledge | No Comments »