Thursday, August 16, 2007

Dos sismos : ambos con buenas consecuencias para los mios.

Ayer se produjeron dos sismos para mi gente, mi familia y los de mi empresa. Por suerte, las consecuencias de ambos fueron buenas para los mios. Lamento muchisimo lo que esta pasando en Ica porque veo como han sufrido muchas familias y lo comparo con la mia, tuvimos la suerte de estar juntos y que no nos pase nada malo.
De que trato el primer sismo ? Porque el otro fue un tremendo terremoto que no tengo ni para que comentar.
El primer sismo fue sentido por MSN, me contacto un amigo periodista a contarme que le habian hablado negativamente sobre nuestro trabajo. Es decir, que nuestra labor en un cliente MUY GRANDE habia sido mala, PERO, que se destabacan nuestro excelente nivel tecnico.
Toco este tema en mi blog porque esto es solo un comentario y porque no he visto ninguna empresa que coloque cosas asi en sus web corporativos, es mas, nadie reconoce estos temas o se hacen los locos.
En nuestro caso hay varias explicaciones al tema con consecuencias concretas y todas buenas :

1. Nos toco hacer un trabajo tercerizado. Como cualquier empresa que inicia, es dificil llegar directamente a los clientes finales y por ello empresas mas grandes y que tienen capacidad comercial, pero, no tienen personal propio, contrata empresas pequeñas como Open-Sec que si tienen los conocimientos y experiencia requeridos.
De hecho, la labor en mencion fue vendida por una empresa I que contrato a una empresa I- que contrato a Open-Sec. Facilmente, se puede entender que se producen problemas de "telefono malogrado" y complacencias que todos esperan que el mas pequeño asuma y lo que es peor, el mas pequeño no tiene voto para acotar el alcance y cobertura que los mas grandes se afanan en ampliar para vender "mejor" al cliente su imagen. Como siempre digo, el cliente quiere pan con asado por "media luca" (medio Nuevo Sol) y ellos se lo dan exigiendo al ultimo en el stack por esa misma media luca.
Luego, vienen otros problemas: te pago cuando me paguen, te pago cuando tenga plata, te pago sin factura, etc.
Determinacion : ese fue el ultimo trabajo tercerizado que aceptamos. Desde que terminamos esa labor, decidimos no aceptar mas proyectos por intermediarios sino solamente clientes finales.

2. No existen propuestas serias ni un control de proyecto adecuado. Es conocido que los vendedores venden muchas veces vaporware y los tecnicos tenemos que cargar esa cruz, pero, hay extremos.
Sin embargo, el problema no queda en los vendedores de los proveedores, aun se ve en clientes grandes gente con mala actitud y aptitud y que a pesar de ser entidades privadas, quieren que una evaluacion de seguridad entregue los resultados que ellos quieren o les conviene. Peor es que los intermediarios exigen que el real proveedor entregue los servicios como el cliente quiere en forma y fondo.
En estas situaciones, ni los intermediarios ni el cliente entiende ni quiere entender que un proyecto debe ser gestionado adecuadamente y lanzan al piso los gantt, los objetivos, alcance y cobertura.
Determinacion : Seguir esparciendo el mensaje que cualquier labor de un proyecto debe ser tomada con seriedad y si no se tiene el conocimiento adecuado, reconocerlo y adquirirlo.

3. Una cosa es ser tecnico y otra consultor. Nuestra gente tiene una gran capacidad como tecnicos, son los mejores. De hecho, hemos realizado desde el año pasado el 80% de los servicios de ethical hacking en nuestro pais y este año incursionamos en analisis forense con exito. Seguimos contando con el unico CEH en Perú que labora en un proveedor, una persona mas se certitificara este año como CEH y yo ire por el CHFI.
Un consultor, por otro lado, debe tener la capacidad de comprender los requerimientos del cliente, analizarlos, plantear soluciones, revisarlas y adecuarlas con el cliente Y REDACTAR BUENOS ENTREGABLES. Esto ultimo quiere decir : buena ortografia y buena redaccion. (En mi blog y correos no uso acentos).
Determinacion : En Open-Sec solo se aceptaran trabajos de CONSULTORES y solamente son considerados buenos y completos si cuentan con una ortografia y redaccion CORRECTAS. No hay puntos intermedios.

4. No todos los clientes grandes son iguales ni todas las areas en un cliente son iguales.

La labor que genera este post no ha sido la mas grande que hemos realizado, de hecho, ha sido una de las mas pequeñas, pero, bien puntual y particular. Algo que no siempre solicitan los clientes, pero, algo para lo cual estamos preparados y que ya hicimos en dos oportunidades.
En ese mismo cliente, hemos trabajado en el pasado con su area de Seguridad de la Informacion en temas de tecnologia y nos ha ido muy bien, de hecho, los tomamos como referencia. Pero, la calidad y conocimientos no se transmiten por osmosis y ahora nos toco otra area que cuenta con personal profesional, pero, sin experiencia en temas de seguridad.
Determinacion : Cuando volvamos a tener un proyecto con una organizacion grande, incluiremos un entrenamiento previo de 8 horas respecto a las labores que desarrollaremos. Es mejor enseñarles y que comprendan a tener que explicarles cuanto es 2 mas 2.

5. Si se pide comprobar como un atacante puede afectar a la organizacion, no se debe exigir un comportamiento de tecnico de biblioteca.
Como le comente a mi esposa : imagina que pides evaluar la inseguridad del acceso a nuestro departamento, vivimos en un segundo piso donde hay 2 puertas y una ventana y le dices al "evaluador" : prueba si somos vulnerables, PERO, solo desde la puerta principal.
Ah! Pero, tambien, hazlo entre 10 am y 2 pm que siempre habra alguien en casa que lo detecte.
Absurdo total! Pero, eso es lo que los vendedores aceptan de los clientes y no podemos comprender las razones de ambos.
Determinacion : Si nueveamente nos piden hacer algo asi, no lo hacemos y se analizara la continuidad del proyecto. Esto es ETHICAL HACKING no un servicio de tallado a mano.

La historia aun no termina, no terminan de pagarnos por un servicio que el cliente ya recibio y dio su conformidad y lo que es peor, no tenemos ni siquiera una fecha de pago que depende de la buena voluntad de los intermediarios.

Como dijimos ayer :
A. Unas son de cal y otras de arena. El punto 3 atañe al 100% a Open-Sec.
B. Cuando el rio suena, es porque alguien esta tirando piedras. (Gustavo Vallejo)
C. Somos excelentes tecnicos (ethical hackers) y buenos consultores (no excelentes).

Saludos!

1 comment:

eldrope said...

Aunque no tiene tanta relación aqui va un buen artículo.

http://necudeco.homeunix.net/index.php/2007/06/12/el-precio-del-software/#comment-231