viernes, 28 de octubre de 2011

Steve Jobs Aplicado a la Seguridad


Todos nos enteramos del fallecimiento de Steve Jobs. He de confesar que lo admiro y deseo expresar mi pesar por haberlo perdido. No podía dejar desapercibida la desaparición de mi “héroe digital”. ¿Cómo abordar el tema? ¿Lo que había significado para mí? ¿Resumir sus logros? Creo que hubiera sido más de lo mismo que hemos estado leyendo. Apliqué lo del “Think different” y me pregunté cómo algunas de las lecciones aprendidas podrían relacionarse a la seguridad de la información.

Antes de empezar, una advertencia. Varias de mis interpretaciones/comentarios no son exclusivas para la seguridad, ahórrense el comentario de “pero eso aplica para otras áreas/disciplinas también”, gracias. 

Ok. ¿Cómo armé este post? De entre las lecciones aprendidas que fui encontrando, seleccioné aquellas que podía citar para luego comentar mi manera de aplicar dicha lección al área de seguridad. Ya me dirán cómo me salió. 

Guy Kawasaki trabajó un tiempo para Apple y nos dice lo que desde su punto de vista aprendió de Steve Jobs.
 
Guy dice: Los Expertos No Tienen Idea.

Yo digo: hay de expertos a expertos en seguridad informática. Los hay quienes te dicen qué debes de hacer, pero no cómo debes de hacerlo y probablemente nunca lo han llevado a cabo o sólo han escuchado que alguien lo hizo en “alguna ocasión”. 

Te pueden decir que lleves un inventario de las aplicaciones autorizadas para ejecutarse en cada uno de los sistemas o que otorgues permisos de acceso a la información en base a la necesidad de saber (neek-to-know); también te pueden sugerir que bloquees el acceso a Internet a todos excepto a quienes realmente lo necesiten. 

Pero no te van a decir cómo hacerlo, ni quién más lo ha llevado a cabo exitosamente (y que lo sepan de primera mano). Lección: algunas veces los que nos dedicamos a la seguridad de la información expresamos alguna buena idea que suena bien en teoría o que supuestamente es una “buena práctica”, pero que al intentar aterrizarlo “al mundo real” informático *corporativo* resulta que es una pesadilla administrativa o que de plano no es factible implementarlo y hay que dar marcha atrás. 

El “qué” es importante pero sin el “cómo” se vuelve impráctico.

Guy dice: Los Clientes no te Pueden Decir lo que Necesitan.

Yo digo: las áreas de TI (y no TI) no te van a decir lo que la empresa necesita en cuestión de seguridad. Tu labor es ver la problemática, idear las posibles soluciones y vender (sí, vender) tus ideas para que sean compradas.  

Quien debe saber lo que la empresa necesita en cuestión de seguridad deben de ser los profesionales de seguridad. Debemos de estar atentos a los nuevas maneras de atacar y lecciones aprendidas. RSA, StuxNet, DuQu, APT, mobile malware o DigiNotar son cuestiones que hay que saber y entender para proponer lo que la empresa necesita para los ataques de hoy, no para los ataques de los 90. 
Si cuando llegaste ya estaba el antivirus, tu labor será darle continuidad o ver si hay algo mejor allá afuera? ¿Cuáles controles eficientes de seguridad sabes que necesita la empresa?

Guy dice: Salta a la Siguiente Curva.

Yo digo: mientras las empresas se pelean por tener su antivirus, la siguiente “curva” son las listas blancas (whitelist). ¿Cuáles son las tendencias en ataques y obvio en soluciones? ¿Cuáles son los controles más novedosos que pudieran servirnos en la empresa? 

Gartner publica tendencias en seguridad de la información; el SANS te puede dar buenos tips; a finales de cada año se publican a lo largo y ancho de Internet diferentes artículos referentes a las predicciones en cuestiones de seguridad de la información. ¿Estás al pendiente de las tendencias y “saltas a la curva”?

Guy dice: No Puedes Equivocarte con Gráficas y Grandes Fonts.

Yo digo: obvio, no sólo aplica al área de seguridad. Cuando expongas presentaciones gerenciales para explicar una problemática, nuevos controles u otras cuestiones que impulsen a la seguridad dentro de la empresa, ten cuidado en cómo presentas. Puedes seguir una regla del mismo Guy: 10-20-30. Diez slides de 20 minutos usando un font de tamaño 30. 

También puedes ver en YouTube alguna de las Keynote de Apple que haya dado Steve Jobs (un maestro en el arte de presentar). Hay que presentar con estilo para que se entienda lo que deseamos impulsar y el por qué estaremos más seguros con X propuesta o control. 

Como dije ya, la seguridad muchas veces hay que venderla porque para la alta dirección y el resto de las áreas de TI no es algo que sientan que necesitan, por lo tanto hay que venderla y saber exponer la necesidad.

Guy dice: Valor es diferente del Precio.

Yo digo: la seguridad cuesta dinero a las corporaciones, pero qué difícil es demostrar su valor para la empresa. En no pocas ocasiones se ve a la bolsa de seguridad como un gasto, y no como una inversión. Un mal necesario que cuesta y tiene un precio, pero que no queda claro “allá arriba” dónde está el valor. Retorno de inversión, pues. ¿Cómo se puede demostrar el valor de los controles/herramientas y del personal de seguridad? 

Y claro, no porque la bolsa ($$$) de seguridad esté llena significa que se está agregando valor. Y viceversa.

Guy dice: Los CEO de a de Veras Hacen Demostraciones.

Yo digo: qué importante es hacer demostraciones. Steve Jobs, siendo todo un CEO, salía al escenario (ver sus keynotes) y no sólo platicaba del producto, sino que también lo demostraba en vivo. Si un CEO millonario se da el lujo de hacer demos (pocos CEO lo hacen), no nos falta hacer lo mismo en seguridad para la parte de los riesgos? Muchas veces mostramos los supuestos riesgos en PowerPoint. No será mejor usar más BackTrack/Metasploit y mucho menos PowerPoint? 

De preferencia, los riesgos hay que “vivirlos” antes de creer en ellos “porque lo digo yo”. Por eso, qué mejor que te haga un hack lanzándote un exploit y tomar control de tu computadora…en lugar de ponerte un PPT y decirte que ¡aguas! porque podría hackearte cualquier día de la semana si así lo quisiera.


Neil Patel.
Basta de Guy. Vayamos con Neil Patel y sus lecciones:

Neil Patel dice: Mantenlo Simple.

Yo digo: Políticas de seguridad complicadas para entenderlas y claro, extensas como manuales de un transbordador espacial. Campañas de concientización de seguridad enfocadas en la ingeniería de la seguridad en lugar de estar centradas en las personas; posters de la campaña con mucho texto (font de 10) pero pocas imágenes (¡urge minimalismo!). 

Los usuarios no son ingenieros en sistemas ni en electrónica y hay que hablar su idioma, hacer que se sientan cómodos. ¿Puedes ser capaz de redactar una política de seguridad en dos páginas? ¿Reportes de indicadores en gráficas y en una sola página (dashboard)? ¿Reportes de tu análisis de riesgos o tu pentest que pesen menos de 1 kilo? Explicar un riesgo o un ataque puede ser complicado de entender “para el resto”, así es que mantenlo simple.

Neil Patel dice: Piensa en Grande.

Yo digo: recuerdo una historia que se me ha quedado grabada hasta hoy. Dice algo así. Le preguntaron a tres caballeros que estaban trabajando en una construcción sobre qué es lo que estaban haciendo. Uno dijo: “Pegando ladrillos”. Otro contestó: “Una pared bien alta”. El tercer hombre afirmó: “Me siento orgulloso porque formo parte de esta magnífica catedral que perdurará por siglos”. 

Como responsable de la seguridad de la información de una Institución, tú qué piensas que estás haciendo? ¿Instalando un detector de intrusos o siendo parte de la protección de la información y de la estrategia de seguridad de [nombre de tu empresa]?

Neil Patel dice: “Siempre hay Lugar para la Innovación”

Yo digo: ¿Cómo innovar en el área de seguridad? No estoy desarrollando productos de seguridad, en qué sentido podría innovar? Ok. Una vez hace años fui a una expo de publicidad. En lugar de pasar por ahí viendo y pensando en por qué la gallina cruzó el camino, me pregunté cómo podía aplicar eso que estaba viendo a la seguridad. 

Tuve la iniciativa de proponer una campaña de seguridad que no se había hecho antes con algunas ideas de la expo. Lo propuse y tiempo después arrancó la campaña. 

Ok, y luego? Tal vez pienses en una manera diferente de presentar una métrica o una mejor manera de convencerlo respecto a que se requiere seguridad en la empresa. Piensa diferente. Salte del molde “porque así siempre se ha hecho”. El punto es que no te empantanes en las cajas aburridas de siempre, “ve por la Macintosh”, por así decirlo. Steve alguna vez dijo: “Innovation distinguishes between a leader and a follower”.


Conclusión.

Hasta ahí le dejamos. Este post está ya demasiado largo. Sin embargo, There is One More Thing: pongo a tu disposición algunas ligas que a mí me han parecido interesantes sobre Steve Jobs, tal vez las disfrutes tanto como yo!

Plática con al autor de la biografía de Steve. Yo ya he pedido el libro llamado “Steve Jobs” de Walter Isaacson.

Entrevista con el exCEO de Apple John Sculley. Te transporta a la mente de Steve.

Video “Todos somos Steve”, me encantó la letra y el ritmo.

Video del famoso discurso de Steve Jobs en Stanford. Inspirador.

Libro “The Second Coming of Steve Jobs” de Alan Deutschman. Ya lo leí y lo recomiendo. Trata del periodo entre su salida de Apple y El Regreso.

Libro “iCon Steve Jobs: The Greatest Second Act in the History of Business” de Jeffrey S. Young. No lo he leído pero me lo han recomendado.

Documental de Discovery: “iGenius”. Lo llegué a ver completo en YouTube pero ya lo quitaron. Supongo que eventualmente pasará en México en el canal ya mencionado.

Dicen que a Steve le interesó este libro:  “The Innovator's Dilemma: The Revolutionary Book That Will Change the Way You Do Business” de Clayton M. Christensen. Lo tengo en mi lista de libros a leer.