Todos
nos enteramos del fallecimiento de Steve Jobs. He de confesar que lo admiro y deseo
expresar mi pesar por haberlo perdido. No podía dejar desapercibida la
desaparición de mi “héroe digital”. ¿Cómo abordar el tema? ¿Lo que había
significado para mí? ¿Resumir sus logros? Creo que hubiera sido más de lo mismo
que hemos estado leyendo. Apliqué lo del “Think
different” y me pregunté cómo algunas de las lecciones aprendidas podrían
relacionarse a la seguridad de la información.
Antes
de empezar, una advertencia. Varias de mis interpretaciones/comentarios no son
exclusivas para la seguridad, ahórrense el comentario de “pero eso aplica para otras áreas/disciplinas también”, gracias.
Ok.
¿Cómo armé este post? De entre las lecciones aprendidas que fui encontrando, seleccioné
aquellas que podía citar para luego comentar mi manera de aplicar dicha lección
al área de seguridad. Ya me dirán cómo me salió.
Guy
Kawasaki trabajó un tiempo para Apple y nos dice lo que desde su punto de vista aprendió de
Steve Jobs.
Guy dice: Los Expertos No Tienen Idea.
Yo digo:
hay de expertos a expertos en seguridad informática. Los hay quienes te dicen
qué debes de hacer, pero no cómo debes de hacerlo y probablemente nunca lo han
llevado a cabo o sólo han escuchado que alguien lo hizo en “alguna ocasión”.
Te
pueden decir que lleves un inventario de las aplicaciones autorizadas para
ejecutarse en cada uno de los sistemas o que otorgues permisos de acceso a la
información en base a la necesidad de saber (neek-to-know); también te pueden sugerir que bloquees el acceso a
Internet a todos excepto a quienes realmente lo necesiten.
Pero no te van a
decir cómo hacerlo, ni quién más lo ha llevado a cabo exitosamente (y que lo
sepan de primera mano). Lección: algunas veces los que nos dedicamos a la
seguridad de la información expresamos alguna buena idea que suena bien en
teoría o que supuestamente es una “buena práctica”, pero que al intentar aterrizarlo
“al mundo real” informático *corporativo* resulta que es una pesadilla
administrativa o que de plano no es factible implementarlo y hay que dar marcha
atrás.
El “qué” es importante pero sin el “cómo” se vuelve impráctico.
Guy dice: Los Clientes no te Pueden Decir
lo que Necesitan.
Yo digo:
las áreas de TI (y no TI) no te van a decir lo que la empresa necesita en
cuestión de seguridad. Tu labor es ver la problemática, idear las posibles
soluciones y vender (sí, vender) tus ideas para que sean compradas.
Quien
debe saber lo que la empresa necesita en cuestión de seguridad deben de ser los
profesionales de seguridad. Debemos de estar atentos a los nuevas maneras de
atacar y lecciones aprendidas. RSA, StuxNet, DuQu, APT, mobile malware o
DigiNotar son cuestiones que hay que saber y entender para proponer lo que la
empresa necesita para los ataques de hoy, no para los ataques de los 90.
Si cuando
llegaste ya estaba el antivirus, tu labor será darle continuidad o ver si hay
algo mejor allá afuera? ¿Cuáles controles eficientes de seguridad sabes que necesita
la empresa?
Guy dice: Salta a la Siguiente Curva.
Yo digo: mientras las empresas se pelean por tener su
antivirus, la siguiente “curva” son las listas blancas (whitelist). ¿Cuáles son las tendencias en ataques y obvio en
soluciones? ¿Cuáles son los controles más novedosos que pudieran servirnos en
la empresa?
Gartner
publica tendencias en seguridad de la información; el SANS te puede dar buenos tips; a finales de cada año se publican a lo largo
y ancho de Internet diferentes artículos referentes a las predicciones en
cuestiones de seguridad de la información. ¿Estás al pendiente de las tendencias
y “saltas a la curva”?
Guy dice: No Puedes Equivocarte con
Gráficas y Grandes Fonts.
Yo digo: obvio, no sólo aplica al área de seguridad.
Cuando expongas presentaciones gerenciales para explicar una problemática,
nuevos controles u otras cuestiones que impulsen a la seguridad dentro de la
empresa, ten cuidado en cómo presentas. Puedes seguir una regla del mismo Guy: 10-20-30. Diez slides de 20
minutos usando un font de tamaño 30.
También
puedes ver en YouTube alguna de las Keynote de Apple que haya dado Steve Jobs
(un maestro en el arte de presentar). Hay que presentar con estilo para que se entienda lo que deseamos impulsar
y el por qué estaremos más seguros con X propuesta o control.
Como
dije ya, la seguridad muchas veces hay que venderla porque para la alta
dirección y el resto de las áreas de TI no es algo que sientan que necesitan,
por lo tanto hay que venderla y saber exponer la necesidad.
Guy dice: Valor es diferente del Precio.
Yo digo: la seguridad cuesta dinero a las
corporaciones, pero qué difícil es demostrar su valor para la empresa. En no
pocas ocasiones se ve a la bolsa de seguridad como un gasto, y no como una
inversión. Un mal necesario que cuesta y tiene un precio, pero que no queda
claro “allá arriba” dónde está el valor. Retorno de inversión, pues. ¿Cómo se
puede demostrar el valor de los
controles/herramientas y del personal de seguridad?
Y
claro, no porque la bolsa ($$$) de seguridad esté llena significa que se está
agregando valor. Y viceversa.
Guy dice: Los CEO de a de Veras Hacen
Demostraciones.
Yo digo: qué importante es hacer demostraciones. Steve
Jobs, siendo todo un CEO, salía al escenario (ver sus keynotes) y no sólo
platicaba del producto, sino que también lo demostraba en vivo. Si un CEO
millonario se da el lujo de hacer demos (pocos CEO lo hacen), no nos falta
hacer lo mismo en seguridad para la parte de los riesgos? Muchas veces mostramos
los supuestos riesgos en PowerPoint. No será mejor usar más
BackTrack/Metasploit y mucho menos PowerPoint?
De
preferencia, los riesgos hay que “vivirlos” antes de creer en ellos “porque lo
digo yo”. Por eso, qué mejor que te haga un hack lanzándote un exploit y tomar control
de tu computadora…en lugar de ponerte un PPT y decirte que ¡aguas! porque podría hackearte cualquier día de la
semana si así lo quisiera.
Neil Patel.
Neil Patel dice: Mantenlo Simple.
Yo digo: Políticas de seguridad complicadas
para entenderlas y claro, extensas como manuales de un transbordador espacial.
Campañas de concientización de seguridad enfocadas en la ingeniería de la
seguridad en lugar de estar centradas en las personas; posters de la campaña
con mucho texto (font de 10) pero pocas imágenes (¡urge minimalismo!).
Los usuarios no son ingenieros en sistemas ni
en electrónica y hay que hablar su idioma, hacer que se sientan cómodos. ¿Puedes
ser capaz de redactar una política de seguridad en dos páginas? ¿Reportes de
indicadores en gráficas y en una sola página (dashboard)? ¿Reportes de tu
análisis de riesgos o tu pentest que pesen menos de 1 kilo? Explicar un riesgo
o un ataque puede ser complicado de entender “para el resto”, así es que
mantenlo simple.
Neil Patel dice: Piensa en Grande.
Yo digo: recuerdo una historia que se me ha
quedado grabada hasta hoy. Dice algo así. Le preguntaron a tres caballeros que
estaban trabajando en una construcción sobre qué es lo que estaban haciendo. Uno
dijo: “Pegando ladrillos”. Otro contestó: “Una pared bien alta”. El tercer
hombre afirmó: “Me siento orgulloso porque formo parte de esta magnífica
catedral que perdurará por siglos”.
Como responsable de la seguridad de la
información de una Institución, tú qué piensas que estás haciendo? ¿Instalando
un detector de intrusos o siendo parte de la protección de la información y de
la estrategia de seguridad de [nombre de
tu empresa]?
Neil Patel dice: “Siempre hay Lugar
para la Innovación”
Yo digo: ¿Cómo innovar en el área de seguridad?
No estoy desarrollando productos de seguridad, en qué sentido podría innovar?
Ok. Una vez hace años fui a una expo de publicidad. En lugar de pasar por ahí
viendo y pensando en por qué la gallina cruzó el camino, me pregunté cómo podía
aplicar eso que estaba viendo a la seguridad.
Tuve la iniciativa de proponer una campaña de
seguridad que no se había hecho antes con algunas ideas de la expo. Lo propuse
y tiempo después arrancó la campaña.
Ok, y luego? Tal vez pienses en una manera
diferente de presentar una métrica o una mejor manera de convencerlo respecto a
que se requiere seguridad en la empresa. Piensa diferente. Salte del molde “porque
así siempre se ha hecho”. El punto es que no te empantanes en las cajas aburridas
de siempre, “ve por la Macintosh”, por así decirlo. Steve alguna
vez dijo: “Innovation distinguishes
between a leader and a follower”.
Conclusión.
Hasta ahí le dejamos. Este post está ya
demasiado largo. Sin embargo, There is One More Thing:
pongo a tu disposición algunas ligas que a mí me han parecido interesantes
sobre Steve Jobs, tal vez las disfrutes tanto como yo!
Plática con al autor de la biografía de
Steve. Yo ya he pedido el libro llamado “Steve Jobs” de Walter
Isaacson.
Entrevista con el exCEO de Apple John Sculley.
Te transporta a la mente de Steve.
Video “Todos somos Steve”, me encantó la
letra y el ritmo.
Video del famoso discurso de Steve Jobs en
Stanford. Inspirador.
Libro “The Second
Coming of Steve Jobs” de Alan Deutschman. Ya lo leí y lo recomiendo. Trata del periodo entre
su salida de Apple y El Regreso.
Libro “iCon Steve
Jobs: The Greatest Second Act in the History of Business” de Jeffrey S. Young. No lo he leído pero me lo han
recomendado.
Documental de Discovery: “iGenius”. Lo llegué a
ver completo en YouTube pero ya lo quitaron. Supongo que eventualmente pasará en
México en el canal ya mencionado.
Dicen que a
Steve le interesó este libro: “The Innovator's
Dilemma: The Revolutionary Book That Will Change the Way You Do Business” de Clayton
M. Christensen. Lo tengo en mi lista de libros a leer.