Thursday, August 16, 2007

Dos sismos : ambos con buenas consecuencias para los mios.

Ayer se produjeron dos sismos para mi gente, mi familia y los de mi empresa. Por suerte, las consecuencias de ambos fueron buenas para los mios. Lamento muchisimo lo que esta pasando en Ica porque veo como han sufrido muchas familias y lo comparo con la mia, tuvimos la suerte de estar juntos y que no nos pase nada malo.
De que trato el primer sismo ? Porque el otro fue un tremendo terremoto que no tengo ni para que comentar.
El primer sismo fue sentido por MSN, me contacto un amigo periodista a contarme que le habian hablado negativamente sobre nuestro trabajo. Es decir, que nuestra labor en un cliente MUY GRANDE habia sido mala, PERO, que se destabacan nuestro excelente nivel tecnico.
Toco este tema en mi blog porque esto es solo un comentario y porque no he visto ninguna empresa que coloque cosas asi en sus web corporativos, es mas, nadie reconoce estos temas o se hacen los locos.
En nuestro caso hay varias explicaciones al tema con consecuencias concretas y todas buenas :

1. Nos toco hacer un trabajo tercerizado. Como cualquier empresa que inicia, es dificil llegar directamente a los clientes finales y por ello empresas mas grandes y que tienen capacidad comercial, pero, no tienen personal propio, contrata empresas pequeñas como Open-Sec que si tienen los conocimientos y experiencia requeridos.
De hecho, la labor en mencion fue vendida por una empresa I que contrato a una empresa I- que contrato a Open-Sec. Facilmente, se puede entender que se producen problemas de "telefono malogrado" y complacencias que todos esperan que el mas pequeño asuma y lo que es peor, el mas pequeño no tiene voto para acotar el alcance y cobertura que los mas grandes se afanan en ampliar para vender "mejor" al cliente su imagen. Como siempre digo, el cliente quiere pan con asado por "media luca" (medio Nuevo Sol) y ellos se lo dan exigiendo al ultimo en el stack por esa misma media luca.
Luego, vienen otros problemas: te pago cuando me paguen, te pago cuando tenga plata, te pago sin factura, etc.
Determinacion : ese fue el ultimo trabajo tercerizado que aceptamos. Desde que terminamos esa labor, decidimos no aceptar mas proyectos por intermediarios sino solamente clientes finales.

2. No existen propuestas serias ni un control de proyecto adecuado. Es conocido que los vendedores venden muchas veces vaporware y los tecnicos tenemos que cargar esa cruz, pero, hay extremos.
Sin embargo, el problema no queda en los vendedores de los proveedores, aun se ve en clientes grandes gente con mala actitud y aptitud y que a pesar de ser entidades privadas, quieren que una evaluacion de seguridad entregue los resultados que ellos quieren o les conviene. Peor es que los intermediarios exigen que el real proveedor entregue los servicios como el cliente quiere en forma y fondo.
En estas situaciones, ni los intermediarios ni el cliente entiende ni quiere entender que un proyecto debe ser gestionado adecuadamente y lanzan al piso los gantt, los objetivos, alcance y cobertura.
Determinacion : Seguir esparciendo el mensaje que cualquier labor de un proyecto debe ser tomada con seriedad y si no se tiene el conocimiento adecuado, reconocerlo y adquirirlo.

3. Una cosa es ser tecnico y otra consultor. Nuestra gente tiene una gran capacidad como tecnicos, son los mejores. De hecho, hemos realizado desde el año pasado el 80% de los servicios de ethical hacking en nuestro pais y este año incursionamos en analisis forense con exito. Seguimos contando con el unico CEH en Perú que labora en un proveedor, una persona mas se certitificara este año como CEH y yo ire por el CHFI.
Un consultor, por otro lado, debe tener la capacidad de comprender los requerimientos del cliente, analizarlos, plantear soluciones, revisarlas y adecuarlas con el cliente Y REDACTAR BUENOS ENTREGABLES. Esto ultimo quiere decir : buena ortografia y buena redaccion. (En mi blog y correos no uso acentos).
Determinacion : En Open-Sec solo se aceptaran trabajos de CONSULTORES y solamente son considerados buenos y completos si cuentan con una ortografia y redaccion CORRECTAS. No hay puntos intermedios.

4. No todos los clientes grandes son iguales ni todas las areas en un cliente son iguales.

La labor que genera este post no ha sido la mas grande que hemos realizado, de hecho, ha sido una de las mas pequeñas, pero, bien puntual y particular. Algo que no siempre solicitan los clientes, pero, algo para lo cual estamos preparados y que ya hicimos en dos oportunidades.
En ese mismo cliente, hemos trabajado en el pasado con su area de Seguridad de la Informacion en temas de tecnologia y nos ha ido muy bien, de hecho, los tomamos como referencia. Pero, la calidad y conocimientos no se transmiten por osmosis y ahora nos toco otra area que cuenta con personal profesional, pero, sin experiencia en temas de seguridad.
Determinacion : Cuando volvamos a tener un proyecto con una organizacion grande, incluiremos un entrenamiento previo de 8 horas respecto a las labores que desarrollaremos. Es mejor enseñarles y que comprendan a tener que explicarles cuanto es 2 mas 2.

5. Si se pide comprobar como un atacante puede afectar a la organizacion, no se debe exigir un comportamiento de tecnico de biblioteca.
Como le comente a mi esposa : imagina que pides evaluar la inseguridad del acceso a nuestro departamento, vivimos en un segundo piso donde hay 2 puertas y una ventana y le dices al "evaluador" : prueba si somos vulnerables, PERO, solo desde la puerta principal.
Ah! Pero, tambien, hazlo entre 10 am y 2 pm que siempre habra alguien en casa que lo detecte.
Absurdo total! Pero, eso es lo que los vendedores aceptan de los clientes y no podemos comprender las razones de ambos.
Determinacion : Si nueveamente nos piden hacer algo asi, no lo hacemos y se analizara la continuidad del proyecto. Esto es ETHICAL HACKING no un servicio de tallado a mano.

La historia aun no termina, no terminan de pagarnos por un servicio que el cliente ya recibio y dio su conformidad y lo que es peor, no tenemos ni siquiera una fecha de pago que depende de la buena voluntad de los intermediarios.

Como dijimos ayer :
A. Unas son de cal y otras de arena. El punto 3 atañe al 100% a Open-Sec.
B. Cuando el rio suena, es porque alguien esta tirando piedras. (Gustavo Vallejo)
C. Somos excelentes tecnicos (ethical hackers) y buenos consultores (no excelentes).

Saludos!

Sunday, August 12, 2007

Migrando...

Hace unas semanas recibi un mail de blog-city.com indicando que solamente hasta diciembre será un servicio gratuito.
Ya en el 2004 abri un blog aqui, asi que me estoy mudando.
No creo que "arrastre" todos los posts anteriores, como en cualquier mudanza, algunas cosas se echan a la basura.
Para iniciar este blog con algo mas que contar la mudanza, hare el consabido update ya que no publico tampoco en el otro hace tiempo :
1. Trabajo : Open-Sec es una empresa que ya despego y aunque seguimos sin tener vendedores, por lo menos, estamos en el punto en que nos llaman como empresa.
La gente de Open-Sec no es muy joven, de hecho, todos pasamos los 30 años y tenemos metas personales y profesionales bien particulares.
2. Familia : Creo que nunca terminará de crecer el orgullo que siento por mis hijos, siguen siendo los mejores. Tampoco puedo dejar de sentir orgullo por mi esposa y por mi que por lo menos hemos madurado en una relación donde sabemos que seguiremos juntos para siempre.
3. Profesional : Me siento contento de hacer lo que me gusta y que eso me este dando dinero, no hay mas que decir.
4. Seguridad : Seguimos en el camino de la seguridad informática. Mi vida es 90% de ethical hacking y 10% de análisis forense basado en la demanda del mercado. Este año voy por la certificación CHFI y mis compañeros en Open-Sec van por las de CEH (Gustavo), Network Security (Martha), CISM (Gustavo, el único bicho raro interesado en seguridad de la información).
5. Linux : Sigue siendo apasionante, pero, ya deje totalmente de lado el aspecto político-religioso. Es más, ni si quiera tengo metas personales respecto a certificaciones de Linux. En Open-Sec solamente Renzo sacarás las de SuSE por necesidad laboral. Igual, le duela a quien le duela y que haga feliz a la mitad del mundo más 1 : SuSE rulez!!!
6. Que hago hoy ? Me pase este día haciendo pruebas de seguridad a Trixbox. No digo hacking porque sería decir que estoy creandole o modificandole cosas. Motivo : hay un webo de gente newbie instalando Trixbox por todos lados, pronto verán los problemas de seguridad que tienen soluciones tan llave en mano como esta. Ojo: funciona muy bien, esta casi todo hecho, casi todo por default funciona perfecto, no hay que meter mucha información. Aja! muchos valores default y un sistema operativo sin hardening, terreno perfecto para los atacantes.
Hasta la próxima....