lunes, 27 de octubre de 2014

De refranes

Esto va de refranes y aunque no te parezca que tiene que ver con IT, quizás al final lo podamos ver de diferente forma..

Hace unos días , despues de un problema de perdida de servicio severa, comprobamos que la tolerancia a fallos de nuestra arquitectura no era tal , asi como no hay mal que por bien no venga, tuvimos un punto para revisando nuestra arquitectura, implementar una solución de contingencia para este tipo de problema.
Durante el evento y trás restableceer el servicio, porque no hay mal que cien años dure , ni cuerpo que lo soporte, púdimos analizar , el motivo del problema y su solución inmediata.
Como siempre nos cuentan, que los arboles no te impidan ver el bosque. Y así fue , los arboles, que nos marcan el día a día en ese momento no estaban porque primero era lo primero y después todo lo demás,además los jefes nunca estan cuando se los necesita.
La indisponibilidad nos genero algún problema externo e interno, porque ya se sabe aquello de mal mete que algo queda y siempre hay una padawan que busca en un problema, su causa.

Además como sabemos es más dificil, de ver la paja en ojo ajeno que la viga en el propio y por aquello "porque hay probemas , tiene sentido tu trabajo", intentamos hacer ver al responsable, que la solución, siempre esta un paso más cerca, cuando se produce un problema. Asi que explicammos que en casi todos los problemas, la buena gestión del mismo es la que marca la diferencia. Por eso y porque nos importa nuestro trabajo, intentamos hacerle ver,eso de que Primero disparar y luego preguntar no tenia sentido. Que la propuesta de mejora al principio parecia matar moscas a cañonazos, no se correspondia a la realidad. El problema es el de siempre, que no hay mas ciego que el que no quiere ver, ni sordo que el que no quiere oir. Y con estos mimbres estos cestos, asi que donde pensamos que nos interesaba tener esto, nos propusieron aquello. Que gran frase esa
de zapatero a tus zapatos, sobre todo si la unes, a Manolete !! si no sabes torear pa que te metes.

La conclusión de todo esto , es que la tolerancia a fallos, va ha ser superada con la capacidad de tolerancia a la frustración de nuestro equipo y donde hacen falta mano izquierda, descubrimos que nuestro responsable tiene dos derechas.

SAludos.

lunes, 19 de mayo de 2014

Porque externalizar servicios

La verdad es que quien ha trabajado en IT durante un tiempo ha tenido que vivir o ver experiencias de este tipo.

El problema es que cuando estás en medio de una ellas no sabes que es mejor si tirar para Pinto o para Valdemoro, ahora me explico.

Hace un tiempo, tuve la oportunidad de asesorar, junto con un grupo de compañeros a una empresa que estaba en un proceso importante de cambio.
El director de IT, con una experiencia larga y dura, no veía muy claro nuestro trabajo y lo que es peor la gerencia tampoco veía muy claro el suyo, es decir teníamos un problema claro de objetivos y de apoyo de la dirección a las actividades IT.

Con estos mimbres era de esperar unos sistemas de IT caóticos y no nos equivocábamos.
Las políticas de IT no existían y nadie se preocupaba lo más mínimo de ver como “meter mano” a aquello.

Ante una situación de este tipo me surge la duda de cómo hacer que esta empresa comience a ser consciente de que necesita una política de IT, que sea consecuente con los objetivos de la organización y empiece a tomarse en serio aplicarla.
¡Que ganas de apagar un botón y ver si se dan cuenta de que no pueden seguir así!

Por eso lo de Pinto o Valdemoro, Que hacemos? Vamos para Pinto y cuestionamos su sistema indicándoles que tienen múltiples problemas y les planteamos las mejoras que consideramos necesarias.
¿Cómo planteamos esas mejoras? Desde arriba, haciendo ver a la gerencia que no cumplen requerimientos mínimos para que IT de servicio de manera adecuada, que tienen un riesgo enorme de que sus sistemas sean comprometidos…
Pero esto es difícil que no deje en mal lugar al gestor que ha permito esto durante años y que puede ser tu compañero en la adaptación al nuevo sistema.

Vamos a Valdemoro, es decir vamos cambiando poco a poco todo, desde abajo, atacando los sistemas vulnerables, parcheándolos securizandolos.

Es difícil, pero hay que buscar una solución.

Desde mi punto de vista la única manera de atacar este problema es comenzando por concienciar de manera sutil al director de IT y de manera clara al director gerente de que existe una necesidad en los sistemas IT, cosa que no les resulatará extraño dado que estamos para algo allí.

Necesitamos comprender su negocio y sus necesidades . Para ello, primero podemos hacer un análisis de riesgo, donde presentemos los posibles problemas e impactos que puede haber en sus sistemas.

Al mismo tiempo podemos comenzar a concienciar a los usuarios de que la seguridad no es un problema , si no una ayuda en su trabajo. Proponer una política de seguridad clara y comenzar a instruir a los usuarios con acciones como banner de inicio de sesión, juegos de seguridad etc.. puede ser un principio.

Una vez determinados los sistemas críticos para el negocio y de comenzar la concienciación de los usuarios. Debemos de analizar los resultados y comenzar a estabilizar los sistemas de mayor impacto, para ello y en muchas ocasiones externalizar servicios puede ser una ayuda, más teniendo en cuenta que los actuales pueden tener carencias de gestion.

Este punto supone muchas veces hacer encaje de bolillos, dado que normalmente el director IT, tiene muy baja tolerancia al cambio de escenario. “Me gusta saber lo que tengo y manejarlo yo”, hay que luchar contra esos miedos y darle seguridad.

Hay muchos servicios que se pueden atacar en este punto, pero sobre todo ha de hacer un correcto Análisis costo/beneficio para el Director Gerente y hacer ver al Director IT, que no pierde control ,si no que gana autonomía.

Aquí nos surge otra duda . ¿Qué servicio puede ser un buen candidato a externalizarse ?

Yo creo que desde luego los servicios de seguridad orientados al correo, servicios de filtrado o gestión de correo son optimos.
Porque mantener una arquitectura de antivirus /antispam es caro en recursos, técnicos y económicos.
Porque el servicio de filtrado es un servicio asentado, eligiendo un proveedor con cierta experiencia, podemos garantizar un buen resultado.
Porque realizar un plan de negocio para justificar la externalización de este servicio es bastante sencillo.Cosas hcaer calculos aproximados del tiempo que la organización pierde en gestionar el spam ayudan de manera enorme.

Con estas propuestas habremos conseguido, por un lado ayudar a nustro director y por otro simplicar el trabajo de IT y ganar una batalla en la confianza que debemos conseguir.

Quizás este punto de vista sea poco ambicioso, pero si no empiezas a caminar dificilmente puedas llegar a tu destino.







jueves, 15 de mayo de 2014

El juego y la concienciación de seguridad.

Conseguir la concienciación de seguridad es uno de los hitos más importantes que ha de lograr una buena política de seguridad. La verdad es que siguiendo este tema una de las opciones que siempre me ha parecido interesante es la de usar como método de concienciación de usuarios la realización de juegos. Esto desde mi punto de vista , el juego puede hacer que el usuario adquiera una motivación extra para aprender seguridad. La verdad es que siguiendo este tema, he encontrado varios proyectos que siguen esta líneas, podemos verlos: http://es.sociallab.es/default/social Este proyecto tiene como objetivo la concienciación de seguridad del usuario en el uso de las redes sociales y este es sin duda un ejemplo claro de concienciación de seguridad, más aún con las crecientes relaciones que con este tipo de redes o sistemas. Pero no es el único , este otro ejemplo de INTECO usa el mismo concepto de aprender jugando. http://navegacionsegura.es Otra de las características que nos pueden ayudar a conseguir mayor concienciación de seguridad es lograr que un grupo referente en nuestra organización interiorice la seguridad de los sistemas. Un juego que creo que nos puede ayudar a esto es el que sigue: http://electronicabarrios.blogspot.com/2009/10/juego-se-seguridad-informatica.html Este grupo puede llegar a comprender conceptos comunes al trabajo de seguridad IT como un ataque de denegación de servicio. finalmente una compilación que contiene todo este tipo de juegos es esta: http://www.alertaenlinea.gov/recursos/ Saludos

miércoles, 14 de mayo de 2014

Historias de una alcantarilla.

Hola esta es mi primera entrada y como pasa muchas veces el blogger suele contar quien es o que va ha publicar. En mi caso es bien sencillo , no lo se y ese espero que sea el camnio de este blogger, el contar cosas que le pasan o historias que me gustan que como el número pi , nunca se como acaba o mejor nunca acaba. Un Saludo y espero que os guste.