Seguridad de la información y culinaria, tanto en común

Vivencias y experiencias en el mundo culinario me han permitido identificar ciertas similitudes con lo que normalmente enfrentamos en el maravilloso y a veces horroroso mundo de la seguridad de la información. Basado en lo anterior quiero compartir 3 analogías que acercar estos 2 mundos tan diferentes en su objetivo y razón de ser.

La primera idea consiste en que a pesar de contar con recetas que indican cómo hacer los platos, no todos tienen el mismo sabor y esto es muy normal cuando se comparten recetas de deliciosos platos, al intentarlo tal vez por ingredientes, factores ambientales, estado de ánimo de quien cocina, entre otros factores, puede quedar muy diferente a lo que otros prepararon antes. La seguridad en ese aspecto es muy similar si vemos las estrategias, guías y metodologías como esas recetas. Cada organización, entorno, proyecto funciona de maneras diferentes, es por ello que el conjunto de pasos y actividades que se han llevado a cabo en una empresa pueda que no funcione de la misma forma en otra. Entender esto toma tiempo, algunos lo pueden considerar como falta de práctica o conocimientos pero es una realidad que aunque la receta o metodología indique qué se debe hacer, es aquí donde entra la pericia y experiencia del chef/profesional de seguridad para identificar qué cambios debe hacer a la receta/metodología para que tenga un mejor resultado.

Uno de las actividades más interesantes cuando se puede viajar y conocer otras ciudades, países y entornos es ver nuevos ingredientes, nuevos posibles sabores, pero esto también supone un riesgo ya que es probable que no se encuentren los ingredientes usualmente empleados para platos conocidos. En la seguridad es muy similar cuando se cambia de organización o mercado, ya que factores como legislación, regulación, formas de hacer las cosas e incluso la misma percepción del riesgo hace que las reglas del juego cambien y sea necesario redefinir cómo abordar problemas, situaciones y retos. Así como existen alimentos e ingredientes que requieren ciertos cuidados o debe evitarse preparar de alguna manera en particular, como por ejemplo los ingredientes del Falafel, la seguridad es lo mismo, un ejemplo claro puede ser el comprender que para los entornos con sistemas industriales de control tipo SCADA es más importante la disponibilidad que lo que podría serlo para una entidad cuyo objetivo es proteger la integridad de la información. Por consiguiente como conclusión, hay que aprovechar la diversidad de los medios para poder usar lo que está disponible como ingrediente o mecanismos para la preparación de platos o para implementar seguridad de la información.

La segunda analogía nace de una enseñanza de un maestro chef que decía una frase como “La comida rápida no se refiere a que se cocine rápido, se sirve rápido, eso es diferente” y con el paso del tiempo he notado que la seguridad es exactamente igual, no hay seguridad rápida, todo requiere un proceso de preparación, adecuación, cuidado, aplicación de buenas prácticas entre otros temas. Así bien la analogía plantea que “la comida rápida no es rápida de preparar, igual que la seguridad”. Un buen ejemplo para hacer digerible esta analogía consiste en analizar como es el proceso para preparar una apetitosa hamburguesa. Puedes conseguir la carne congelada y colocarla en una parrilla o un sartén, también puedes tomar carne, procesarla, adobarle con condimentos y finalmente colocar en el sartén y esperar que esté en su punto, lo que puede tomar 10 o 15 minutos, eso sumado a la preparación de los acompañamientos y lo que se quiera adicionar, es decir, al final es un proceso de por lo menos 20 o 25 minutos de preparación. Ahora pensemos en un proyecto de implementación de un sistema de control perimetral tipo UTM, la instalación del hardware o software toma un tiempo, luego refinar reglas, permisos de acceso, gestión de registros, entre otras actividades toman tiempo, no es tan sólo sacar de la caja, conectar y ya está la magia, aunque podría hacerse y sería un interesante caso de configuración predeterminada o por defecto que lo haría inseguro, como muchos dispositivos que encontramos en la actualidad o para la analogía, una hamburguesa con mala cocción, mala carne o simplemente, mal sabor.

Quiero finalizar estas ideas con una tercera analogía, que se basa en un concepto muy conocido por todos: “no existe seguridad total, al 100%”, así mismo, hay que decir que no existe el plato perfecto, es por ello que hay que comprender que hay situaciones, entornos, espacios donde por más que se intente no se va a lograr un mayor nivel de protección y que llegar a una seguridad total es un ideal absurdo. Con la comida es igual, para el chef puede que el plato sea una nueva maravilla moderna, sin embargo pueden existir comensales que consideren que no es un buen plato, que el sabor no es tan explosivo o apasionante. Una organización puede enfrentarse a ataques e incluso hasta brechas de seguridad que puedan afectarle, es algo normal en nuestro entorno. En la cocina se pueden enfrentar críticas a platos o preparaciones por que al final es imposible hacer a todas las personas felices y es imposible hacer que todo sea seguro.

 Así que ahora cuando cocinen o se encuentren disfrutando de un buen plato en algún restaurante recuerden cuanto puede parecerse este arte culinario a la seguridad y que así como la comida “entra por los sentidos”, hay que seguir buscando cómo hacer que la seguridad entre también por los sentidos de todos los que intervienen en el uso de la información y cómo pueden protegerla.

 Buen provecho

2 ruedas no significa tener corona

Desde hace más de 2 años suelo transportarme en la ciudad de Bogotá empleando bicicleta, eso luego de darme cuenta que las motos no eran compatibles conmigo (o viceversa). Es claro que aunque en Bogotá existen las ciclorutas como carriles “exclusivos” para la circulación de bicicletas, estos se deben compartir con peatones que no respetan este espacio, así como vendedores y en general un inadecuado uso de estos espacios. Sin embargo, más allá de eso, el motivo de esta entrada es comentar como un cambio de actitud y respeto por las normas de tránsito ha ayudado a ver el uso de la bicicleta de otra forma.

Creo que sobre la población total que se desplaza o moviliza en bicicleta en la ciudad, un 99.9% ha cruzado un semáforo en rojo, ha tomado una calle en contravía e incluso en algún momento ha cometido una que otra falta contra las normas de tránsito. Cualquiera diría que las bicicletas y sus ciclistas asociados no deben cumplir normas de tránsito, pero esto es erróneo, de hecho es el simple concepto de tener la autoridad moral para poder exigir y no sólo quejarse de lo que los carros, buses y motos nos hacen a los ciclistas.

Siempre he sido muy explosivo y me molesta que al intentar pasar una calle un carro, moto o cualquier vehículo gire sin utilizar las luces direccionales, que se salten un semáforo en rojo (no están ahí por belleza o son algo contemplativo opcional) o se parqueen en plena vía sin indicar con luces estacionarias que van a parar. Sin embargo, en la medida que como ciclista he empezado a parar en los semáforos en rojo, así todos los conductores de carros, motos y por supuesto, otras bicicletas pasen y lo miren a uno con expresión de “tan pendejo/idiota ponerse a esperar siendo bicicleta” o hagan comentarios al respecto; a darle la vía al peatón, a avisar aún estando en bicicleta, que voy a virar o girar en una esquina, entre otras actitudes, siento que he mejorado como conductor, así sea de bicicleta y aunque me demore más, me expongo menos.

No olvidemos que los accidentes de tránsito siempre ocurren por imprudencia, exceso de velocidad, incumplimiento de las normas y en pocos casos por fallos técnicos.

Si todos cambiamos el switch y respetamos ese semáforo que por algo está ahí, esa señal de pare, ese paso peatonal, entre otros, esto cambia y ser ciclista dejará de ser visto como ven las motos hoy: un peligro en 2 ruedas.

Cambia amigo ciclista, la ciudad cambiará y todos cambiaremos.

Una cicatriz y un pintor famoso

He comentado poco una vivencia personal que aconteció cuando tenía cerca de 2 años de edad y mis padres decidieron regalar a mi hermana mayor un viaje a conocer Ecuador en sus quince años. Al llegar a Quito en compañía de mi familia y siendo un destino de paso ya que nos dirigiamos a las playas de Guayaquil, en un restaurante según me indican, fui al baño, en el proceso al parecer me apoyé en un vidrio y este cedió y uno de los trozos de vidrio fue a dar en mi mejilla derecha. Luego me llevaron a una clínica para que me revisaran y tomaran puntos en la herida, ya que “el viaje debía continuar”. Según me comenta mi hermana, una de las enfermeras indicó que para que cicatrizara rápido la herida recomendaba que fueramos a donde un pintor conocido que él podría ayudarnos.

Según comenta mi padre al llegar al hogar del pintor observaron cuadros grandes, con colores vivos, pero imágenes extrañas, algo desproporcionadas, claramente en mi familia no somos ni seremos expertos en arte. El pintor muy amablemente me revisó e indicó que para poder ayudar era necesario que retiraran los puntos que habían puesto sobre la herida. Nuevamente el paseo a la clínica y solicitud de retiro de puntos, lo que me pareció siempre curioso fue que al sólo decir el nombre de quien lo había pedido hacian caso sin chistar. De vuelta al taller del pintor, este aplicó un oleo especial sobre mi piel y les entregó un tarrito para aplicarme cada día durante el viaje teniendo cuidado de que no me expusiera la herida directamente al sol. Ya de vuelta y de camino de regreso a Colombia, de nuevo se pasó por el taller del pintor y este hizo otra aplicación de pintura en mi herida, indicando que cerraría y cicatrizaría pronto, pero que desafortunadamente debido a los puntos que habían colocado, la cicatriz sería visible de ahora en adelante.

Cerca de 15 años más tarde, pregunté a mis padres si recordaban el nombre del pintor, que quería conocer si esta persona era conocida y por supuesto, sus obras. Me indicaron que su apellido era Guayasamín. Luego lo encontré como Oswaldo Guayasamin.

Oh sorpresa encontrar en varias fuentes cuan importante fue este artista para Ecuador e hispanoamérica, incluyendo sus méritos en las escuelas de bellas artes de España e Italia, entre otras distinciones. Así que cada vez que veo mi cicatriz que no es tan épica como el rayito de Harry Potter o la cruz de Kenshin Himura :P, se que es así, gracias a la capacidad artística de un excelente pintor, quien desafortunadamente fallecio antes de poder ir a darle las gracias por su colaboración.

Cuadro de Guayasamin denominado "La ternura" - Tomado del blog https://ecuadorsolidari.wordpress.com
Cuadro de Guayasamin denominado “La ternura” – Tomado del blog https://ecuadorsolidari.wordpress.com

Gestionar seguridad no es implementar ISO 27001

Durante el tiempo que he trabajado en seguridad de la información siempre he encontrado que para Colombia y algunos otros países de latinoamérica el concepto de gestionar seguridad de la información se traduce en implementar un SGSI o sistema de gestión de seguridad de la información basado en ISO 27001. Siempre he sido apático de los estándares y recetas mágicas para implementar cosas, dado que no existen tales cosas que den cobertura a tantas organizaciones. Tanto 27001 como su familia de normas y guías asociadas son prueba de ello.

En los tres últimos años he participado en la implementación y puesta en funcionamiento de varios SGSI en organizaciones diferentes, con cultura atípicas y con las particularidades usuarles de cualquier organización, sin embargo, al aplicar la seguridad es claro que cada una es un mundo diferente y que lo que se desarrolló en una difícilmente pueda aplicarse a otras. Creo que en eso todos tenemos mucha claridad. Es por ello que he llegado a la conclusión que modelos estándarizados como 27001, NIST 800-100, ISM3, entre otros, requieren de ser muy adaptados a las organizaciones, perdiendo esa figura de estándar, claro, a menos de que la implementación de seguridad conste en llenarse de documentos que nadie leera, registros que nadie diligenciará y temas complejos que en las charlas de generación de conciencia, nadie pondrá atención.

Un mentor de esos inesperados que se te cruzan en la vida profesional me decía algo muy cierto y es que la seguridad debe de dejar de ser tan absorta en salvar al mundo y más bien debe empezar a mirar que duele y cómo apoyar. Cualquiera diría que es más que obvio, tal vez lo sea, pero donde en estos estándares o normas te dicen que comprendas el negocio, que hagas inmersión en él para entender qué le duele, cosa que no sale de un análisis de riesgos claramente, entender su gente, sus particularidades y generalidades, sus fortalezas y sus debilidades y cómo buscar que la seguridad sea un soporte, un real aliado y no un espia que espera para salir corriendo y gritar riesgo mientras se corre en círculos.

Se tarda tiempo en comprender aquello que un docente explicaba en la especialización de riesgos: Por que odiamos los estándares de cumplimiento y preferimos hacer las cosas a pie.

No digo que ISO 27001 no sirva, mucho menos, ha sido un trabajo fuerte de muchos por varios años, basados en experiencias y esfuerzos, sin embargo, pueda que como punto de partida en la implementación de seguridad, sea una causa de que la seguridad sea vista para mal en las organizaciones. Es por ello que mi conclusión es simple: “Construye la seguridad para tu organización paso a paso, como los bloques de lego, uno a la vez y mirando cuando algo no cuadre para que sea la seguridad esa base sólida que aporta y fortalece al negocio independiente de fierros, personal y muchas otras cosas que van integrandose poco a poco”.

Despedida a mi mentora

La tristeza de perder a un ser querido te hace pensar en muchas cosas, más aún cuando este ser querido ha sido tu mentor, guía, maestro, dirección durante toda tu vida.

Luego de luchar por cerca de 2 años y medio contra un despiadado cáncer y sus consecuencias y tratamientos, tales como incontables quimioterapias, radioterapias, medicamentos, clínicas, médicos y un centenar de formas diversas de dolor, mi madre finalmente descansó y nos dejó con su partida un legado de valor infinito.

 Los homenajes póstumos no dicen mucho, al final, son homenajes que nunca se dieron en vida, “agradecidamente” (lo digo entre comillas por que no es agradable ver el sufrimiento de un ser querido), hubo el tiempo suficiente para decir todas las cosas en vida, especialmente agradecer por que contar con una madre que dedico el 70% de su vida a sus hijos y su familia , a la vieja usanza de cuidarlos en el hogar y ser la responsable de “sacarlos adelante” y “darles el buen ejemplo”, no es una bendición que todos tengan, más en nuestros días donde las reglas de la vida son diferentes.

Por eso, más que un homenaje, esta triste entrada es un espacio para pensar en cuanto hizo por mi familia y por mi la mejor mentora que he podido tener y realizar una solemne promesa que su legado y enseñanzas de tantas cosas seguirán y serán estandarte y guía para los que quedamos.

A pesar de la tristeza y como se acongoja el corazón, es necesario y justo sonreír y decir a la vida “Gracias por haber puesto en mi camino a tan grande persona, que tanto hizo por nosotros y que siempre fue el mayor placer del mundo decir: Ella es mi mamá”.

Cierro este texto con una frase particular que como toda madre es acuñada en momentos ideales: “Yo seré su mamá por siempre, por que la labor de una madre, nunca termina”.

Adios Señora Ana, nos veremos más adelante.

La dificultad de generar conciencia en seguridad de la información

En mi trabajo con temas de gestión de la seguridad de la información el reto más grande ha sido siempre el llegar a las personas y que hagan la seguridad parte de su día a día, sin embargo, es bien sabido que la seguridad suele ser vista desde la perspectiva de quienes no están inmersa en ella como algo restrictivo, que obstaculiza, que hace complicadas sus labores, que cohíbe y muchos otros ejemplos.

También el tiempo ha enseñado que no existe una receta de como vender la seguridad a las personas, al fin y al cabo cada entorno, organización, empresa, etc es diferente, cada cultura organizacional implica un análisis y esto a su vez es una de las claves para identificar si la pedagogía, si la educación virtual, si las n-mil posibles actividades que se pueden realizar van a ser bien recibidas y mejor aún, van a tener algún efecto diferente a que los colaboradores de estas organizaciones citen como loros mojados las políticas, sepan que es la confidencialidad y cosas de este estilo.

En los últimos 2 años que he estado trabajando como Oficial de Seguridad de un grupo empresarial he enfrentado este reto a diario y ha sido un motivante para iniciar la búsqueda de componentes que permitan articular el trabajo ejecutivo de crear reglas de comportamiento frente a la seguridad pero que también permitan que este tema trascienda y sea interiorizado por la mayor parte del personal. Esto me ha llevado a investigar temas tales como gestión de la cultura del cambio, didáctica, pedagogía, psicología e incluso análisis de como a través de componentes técnicos tales como la ingeniería social y técnicas de hacking pueden servir.

Estoy trabajando en un artículo sobre el tema y de momento deseo compartir varios recursos que me han sido de aporte para el trabajo de investigación:

– Cultura del cambio:

Making Sense of Change Management: A Complete Guide to the Models, Tools and Techniques of Organizational Change… by Esther Cameron and Mike Green

Switch: How to Change Things When Change Is Hard by Chip Heath and Dan Heath

– Ingeniería social:

It’s not all about “me” – Robin Dreeke

– Conciencia en seguridad:

Paper Five Dimensions of Information Security Awareness – Mikko T. Siponen

Finalmente, en este tema hay mucha tela por cortar, mucho por revisar, les estaré comentando cuando termine la investigación y les cuento. Si alguien puede aportarme ideas o cosas que sean de utilidad en el proceso, son bienvenidas.

Carta abierta sobre buggly

En el año 2013 lideré el evento Habemus Hacking que inicialmente se realizaría en HackBo en la ciudad de Bogotá pero terminó realizándose en Buggly, también participé como conferencista en el evento Hack Tattoo realizado en el mismo lugar. En los eventos que participé en ningún momento tuve conocimiento acerca de que este lugar era parte de este tipo de actividades delictivas. Resulta sumamente de mal gusto que espacios que se buscan para investigación, desarrollo de ideas terminen siendo fachada de temas criminales, de espionaje y actividades delictivas afines.

Basado en lo anterior, indico que no poseo vinculación, asociación o pertenencia con estas personas o sitios y sus nexos con espionaje y actividades delictivas.

El Jeffto que cocina

La cocina ha sido uno de esos placeres ocultos que vine a identificar sólo luego que salí de casa, algunos dirán: claro, se te acabó el hotel mamá y ahora te tocó por tu cuenta o que mi esposa no cocina, o infinidad de cosas, sin embargo, no fue así como ocurrieron las cosas. Para ser exacto, en el 2011, al casarme con @calexiar cambié también de trabajo, entré a un banco, donde las cosas salieron mal desde el primer día, debido a que no me sentía a gusto y laboralmente ingresé a hacer algo totalmente diferente a lo que me habían ofrecido.

Debido a lo anterior llegaba a casa muy malhumorado, molesto e incluso deprimido… entonces muchas veces llegué directo a la cocina, tomaba lo que encontraba e iniciaba a preparar cosas sencillas, a combinar cosas (me ha gustado desde mi niñez la historia de la alquimia y cosas de ese estilo), en el proceso @calexiar no fue intoxicada ni le generé problemas gastricos o intéstinales, por el contrario gustó de mi sazón. Sazón que fue heredada de mi madre (proveniente de la zona de Santander en Colombia, donde la comida es genial) y de mi abuela (Ella es del Tolima, otra zona con muy buen sabor).

Han pasado ya 2 años y medio desde que salí de casa y la cocina (la del apartamento en que vivo ahora es ridículamente pequeña) se ha hecho mi campo de experimentación y he llegado a encontrar en sabores de otros países cosas muy interesantes, es por ello que cuando algún amigo viaja no sólo le pido el favor que me traiga algún LEGO, sino también especias y condimentos raros, para poblar la cocina de casa.

Hoy mientras preparaba el almuerzo del día de mañana, decidí abrir un espacio sólo para comentar mis intentos culinarios, triunfos y fracasos por supuesto. Este espacio se denomina “El Jeffto que Cocina”. Así que bienvenidos a este nuevo espacio, espero que les sea de agrado.

Un aprendizaje de Defcon 21

Este año tuve la oportunidad de asistir a las Vegas a la versión 21 de Defcon. Muchos aprendizajes, muchas cosas interesantes. Realmente esta breve entrada sólo tiene una corta pero importante enseñanza:

“Investigar y desarrollar es lo más importante en seguridad de la información, sin eso, sólo se es un usuario que no aporta, que no aprende, que no mejora”