Una cicatriz y un pintor famoso

He comentado poco una vivencia personal que aconteció cuando tenía cerca de 2 años de edad y mis padres decidieron regalar a mi hermana mayor un viaje a conocer Ecuador en sus quince años. Al llegar a Quito en compañía de mi familia y siendo un destino de paso ya que nos dirigiamos a las playas de Guayaquil, en un restaurante según me indican, fui al baño, en el proceso al parecer me apoyé en un vidrio y este cedió y uno de los trozos de vidrio fue a dar en mi mejilla derecha. Luego me llevaron a una clínica para que me revisaran y tomaran puntos en la herida, ya que “el viaje debía continuar”. Según me comenta mi hermana, una de las enfermeras indicó que para que cicatrizara rápido la herida recomendaba que fueramos a donde un pintor conocido que él podría ayudarnos.

Según comenta mi padre al llegar al hogar del pintor observaron cuadros grandes, con colores vivos, pero imágenes extrañas, algo desproporcionadas, claramente en mi familia no somos ni seremos expertos en arte. El pintor muy amablemente me revisó e indicó que para poder ayudar era necesario que retiraran los puntos que habían puesto sobre la herida. Nuevamente el paseo a la clínica y solicitud de retiro de puntos, lo que me pareció siempre curioso fue que al sólo decir el nombre de quien lo había pedido hacian caso sin chistar. De vuelta al taller del pintor, este aplicó un oleo especial sobre mi piel y les entregó un tarrito para aplicarme cada día durante el viaje teniendo cuidado de que no me expusiera la herida directamente al sol. Ya de vuelta y de camino de regreso a Colombia, de nuevo se pasó por el taller del pintor y este hizo otra aplicación de pintura en mi herida, indicando que cerraría y cicatrizaría pronto, pero que desafortunadamente debido a los puntos que habían colocado, la cicatriz sería visible de ahora en adelante.

Cerca de 15 años más tarde, pregunté a mis padres si recordaban el nombre del pintor, que quería conocer si esta persona era conocida y por supuesto, sus obras. Me indicaron que su apellido era Guayasamín. Luego lo encontré como Oswaldo Guayasamin.

Oh sorpresa encontrar en varias fuentes cuan importante fue este artista para Ecuador e hispanoamérica, incluyendo sus méritos en las escuelas de bellas artes de España e Italia, entre otras distinciones. Así que cada vez que veo mi cicatriz que no es tan épica como el rayito de Harry Potter o la cruz de Kenshin Himura :P, se que es así, gracias a la capacidad artística de un excelente pintor, quien desafortunadamente fallecio antes de poder ir a darle las gracias por su colaboración.

Cuadro de Guayasamin denominado "La ternura" - Tomado del blog https://ecuadorsolidari.wordpress.com
Cuadro de Guayasamin denominado “La ternura” – Tomado del blog https://ecuadorsolidari.wordpress.com

Gestionar seguridad no es implementar ISO 27001

Durante el tiempo que he trabajado en seguridad de la información siempre he encontrado que para Colombia y algunos otros países de latinoamérica el concepto de gestionar seguridad de la información se traduce en implementar un SGSI o sistema de gestión de seguridad de la información basado en ISO 27001. Siempre he sido apático de los estándares y recetas mágicas para implementar cosas, dado que no existen tales cosas que den cobertura a tantas organizaciones. Tanto 27001 como su familia de normas y guías asociadas son prueba de ello.

En los tres últimos años he participado en la implementación y puesta en funcionamiento de varios SGSI en organizaciones diferentes, con cultura atípicas y con las particularidades usuarles de cualquier organización, sin embargo, al aplicar la seguridad es claro que cada una es un mundo diferente y que lo que se desarrolló en una difícilmente pueda aplicarse a otras. Creo que en eso todos tenemos mucha claridad. Es por ello que he llegado a la conclusión que modelos estándarizados como 27001, NIST 800-100, ISM3, entre otros, requieren de ser muy adaptados a las organizaciones, perdiendo esa figura de estándar, claro, a menos de que la implementación de seguridad conste en llenarse de documentos que nadie leera, registros que nadie diligenciará y temas complejos que en las charlas de generación de conciencia, nadie pondrá atención.

Un mentor de esos inesperados que se te cruzan en la vida profesional me decía algo muy cierto y es que la seguridad debe de dejar de ser tan absorta en salvar al mundo y más bien debe empezar a mirar que duele y cómo apoyar. Cualquiera diría que es más que obvio, tal vez lo sea, pero donde en estos estándares o normas te dicen que comprendas el negocio, que hagas inmersión en él para entender qué le duele, cosa que no sale de un análisis de riesgos claramente, entender su gente, sus particularidades y generalidades, sus fortalezas y sus debilidades y cómo buscar que la seguridad sea un soporte, un real aliado y no un espia que espera para salir corriendo y gritar riesgo mientras se corre en círculos.

Se tarda tiempo en comprender aquello que un docente explicaba en la especialización de riesgos: Por que odiamos los estándares de cumplimiento y preferimos hacer las cosas a pie.

No digo que ISO 27001 no sirva, mucho menos, ha sido un trabajo fuerte de muchos por varios años, basados en experiencias y esfuerzos, sin embargo, pueda que como punto de partida en la implementación de seguridad, sea una causa de que la seguridad sea vista para mal en las organizaciones. Es por ello que mi conclusión es simple: “Construye la seguridad para tu organización paso a paso, como los bloques de lego, uno a la vez y mirando cuando algo no cuadre para que sea la seguridad esa base sólida que aporta y fortalece al negocio independiente de fierros, personal y muchas otras cosas que van integrandose poco a poco”.

Despedida a mi mentora

La tristeza de perder a un ser querido te hace pensar en muchas cosas, más aún cuando este ser querido ha sido tu mentor, guía, maestro, dirección durante toda tu vida.

Luego de luchar por cerca de 2 años y medio contra un despiadado cáncer y sus consecuencias y tratamientos, tales como incontables quimioterapias, radioterapias, medicamentos, clínicas, médicos y un centenar de formas diversas de dolor, mi madre finalmente descansó y nos dejó con su partida un legado de valor infinito.

 Los homenajes póstumos no dicen mucho, al final, son homenajes que nunca se dieron en vida, “agradecidamente” (lo digo entre comillas por que no es agradable ver el sufrimiento de un ser querido), hubo el tiempo suficiente para decir todas las cosas en vida, especialmente agradecer por que contar con una madre que dedico el 70% de su vida a sus hijos y su familia , a la vieja usanza de cuidarlos en el hogar y ser la responsable de “sacarlos adelante” y “darles el buen ejemplo”, no es una bendición que todos tengan, más en nuestros días donde las reglas de la vida son diferentes.

Por eso, más que un homenaje, esta triste entrada es un espacio para pensar en cuanto hizo por mi familia y por mi la mejor mentora que he podido tener y realizar una solemne promesa que su legado y enseñanzas de tantas cosas seguirán y serán estandarte y guía para los que quedamos.

A pesar de la tristeza y como se acongoja el corazón, es necesario y justo sonreír y decir a la vida “Gracias por haber puesto en mi camino a tan grande persona, que tanto hizo por nosotros y que siempre fue el mayor placer del mundo decir: Ella es mi mamá”.

Cierro este texto con una frase particular que como toda madre es acuñada en momentos ideales: “Yo seré su mamá por siempre, por que la labor de una madre, nunca termina”.

Adios Señora Ana, nos veremos más adelante.

La dificultad de generar conciencia en seguridad de la información

En mi trabajo con temas de gestión de la seguridad de la información el reto más grande ha sido siempre el llegar a las personas y que hagan la seguridad parte de su día a día, sin embargo, es bien sabido que la seguridad suele ser vista desde la perspectiva de quienes no están inmersa en ella como algo restrictivo, que obstaculiza, que hace complicadas sus labores, que cohíbe y muchos otros ejemplos.

También el tiempo ha enseñado que no existe una receta de como vender la seguridad a las personas, al fin y al cabo cada entorno, organización, empresa, etc es diferente, cada cultura organizacional implica un análisis y esto a su vez es una de las claves para identificar si la pedagogía, si la educación virtual, si las n-mil posibles actividades que se pueden realizar van a ser bien recibidas y mejor aún, van a tener algún efecto diferente a que los colaboradores de estas organizaciones citen como loros mojados las políticas, sepan que es la confidencialidad y cosas de este estilo.

En los últimos 2 años que he estado trabajando como Oficial de Seguridad de un grupo empresarial he enfrentado este reto a diario y ha sido un motivante para iniciar la búsqueda de componentes que permitan articular el trabajo ejecutivo de crear reglas de comportamiento frente a la seguridad pero que también permitan que este tema trascienda y sea interiorizado por la mayor parte del personal. Esto me ha llevado a investigar temas tales como gestión de la cultura del cambio, didáctica, pedagogía, psicología e incluso análisis de como a través de componentes técnicos tales como la ingeniería social y técnicas de hacking pueden servir.

Estoy trabajando en un artículo sobre el tema y de momento deseo compartir varios recursos que me han sido de aporte para el trabajo de investigación:

- Cultura del cambio:

Making Sense of Change Management: A Complete Guide to the Models, Tools and Techniques of Organizational Change… by Esther Cameron and Mike Green

Switch: How to Change Things When Change Is Hard by Chip Heath and Dan Heath

- Ingeniería social:

It’s not all about “me” – Robin Dreeke

- Conciencia en seguridad:

Paper Five Dimensions of Information Security Awareness – Mikko T. Siponen

Finalmente, en este tema hay mucha tela por cortar, mucho por revisar, les estaré comentando cuando termine la investigación y les cuento. Si alguien puede aportarme ideas o cosas que sean de utilidad en el proceso, son bienvenidas.

Carta abierta sobre buggly

En el año 2013 lideré el evento Habemus Hacking que inicialmente se realizaría en HackBo en la ciudad de Bogotá pero terminó realizándose en Buggly, también participé como conferencista en el evento Hack Tattoo realizado en el mismo lugar. En los eventos que participé en ningún momento tuve conocimiento acerca de que este lugar era parte de este tipo de actividades delictivas. Resulta sumamente de mal gusto que espacios que se buscan para investigación, desarrollo de ideas terminen siendo fachada de temas criminales, de espionaje y actividades delictivas afines.

Basado en lo anterior, indico que no poseo vinculación, asociación o pertenencia con estas personas o sitios y sus nexos con espionaje y actividades delictivas.

El Jeffto que cocina

La cocina ha sido uno de esos placeres ocultos que vine a identificar sólo luego que salí de casa, algunos dirán: claro, se te acabó el hotel mamá y ahora te tocó por tu cuenta o que mi esposa no cocina, o infinidad de cosas, sin embargo, no fue así como ocurrieron las cosas. Para ser exacto, en el 2011, al casarme con @calexiar cambié también de trabajo, entré a un banco, donde las cosas salieron mal desde el primer día, debido a que no me sentía a gusto y laboralmente ingresé a hacer algo totalmente diferente a lo que me habían ofrecido.

Debido a lo anterior llegaba a casa muy malhumorado, molesto e incluso deprimido… entonces muchas veces llegué directo a la cocina, tomaba lo que encontraba e iniciaba a preparar cosas sencillas, a combinar cosas (me ha gustado desde mi niñez la historia de la alquimia y cosas de ese estilo), en el proceso @calexiar no fue intoxicada ni le generé problemas gastricos o intéstinales, por el contrario gustó de mi sazón. Sazón que fue heredada de mi madre (proveniente de la zona de Santander en Colombia, donde la comida es genial) y de mi abuela (Ella es del Tolima, otra zona con muy buen sabor).

Han pasado ya 2 años y medio desde que salí de casa y la cocina (la del apartamento en que vivo ahora es ridículamente pequeña) se ha hecho mi campo de experimentación y he llegado a encontrar en sabores de otros países cosas muy interesantes, es por ello que cuando algún amigo viaja no sólo le pido el favor que me traiga algún LEGO, sino también especias y condimentos raros, para poblar la cocina de casa.

Hoy mientras preparaba el almuerzo del día de mañana, decidí abrir un espacio sólo para comentar mis intentos culinarios, triunfos y fracasos por supuesto. Este espacio se denomina “El Jeffto que Cocina”. Así que bienvenidos a este nuevo espacio, espero que les sea de agrado.

Un aprendizaje de Defcon 21

Este año tuve la oportunidad de asistir a las Vegas a la versión 21 de Defcon. Muchos aprendizajes, muchas cosas interesantes. Realmente esta breve entrada sólo tiene una corta pero importante enseñanza:

“Investigar y desarrollar es lo más importante en seguridad de la información, sin eso, sólo se es un usuario que no aporta, que no aprende, que no mejora”

Las 50 sombras de la seguridad de la información

Tiempo sin plasma ideas en el blog, pero volvemos y con ganas :)

En el marco del Barcamp Security Edition se abrió la oportunidad de hacer un reto diferente,  no técnico, más de conocimiento de nuestro ámbito de trabajo, así que luego de varias horas de análisis, creé un crucigrama con preguntas acerca de seguridad de la información.

Pues bien, el reto fue lanzado y puesto en manos de los concursantes el día 30 de Noviembre, con la participación de más de 300 personas y claro, con 2 ganadores que se llevaron unos premios de los patrocinadores.

El enlace al documento con el crucigrama se encuentra aquí, y bueno, es importante el solucionario, el cual se encuentra en este enlace.

Espero lo hayan disfrutado y quienes no lo han revisado, pues que esperan :).