Era un 6 de agosto de 1990, mi primer día de clases en la universidad. Ese día comenzaban mis estudios formales de Ingeniería en Sistemas Computacionales. El campus también se inauguraba formalmente pues era la primera vez que recibía a alumnos de programas de profesional y preparatoria. Recuerdo bien que el fin de semana anterior la escuela aún no estaba totalmente pintada y, para ese primer día, algunos salones ni siquiera tenían puerta y faltaban barandales. Además de que siempre me había gustado la tecnología, había elegido una carrera cuyas materias me parecían muy avanzadas y con títulos futuristas que sonaban complejos… eso me atraía.

Han pasado exactamente 20 años desde ese día y me sigue apasionando la tecnología. Actualmente  casi cualquier persona puede instalar “office” y navegar por internet… pero no cualquiera sabe proteger correctamente una computadora.  Desde mis estudios universitarios me llamó la atención cómo conectar y entrar a redes de computadoras, por lo que he dedicado gran parte de mi vida profesional al campo de la seguridad y durante estos años he vivido de cerca la evolución de esta materia en México. Por ejemplo:

• En el trabajo, fui la primera persona dedicada tiempo completo a labores de seguridad informática. ¡Esta área ni siquiera aparecía en el organigrama! Hoy en día somos un grupo de más de 15 personas dedicadas a esta labor que nos esforzamos diariamente para proteger la información y procesos tecnológicos de nuestra institución. Eso sí, es inevitable: siempre falta tiempo, dinero y personal para todo lo que quieres hacer.
• En el tema de capacitación, tuve que tomar mis primeros cursos de seguridad informática en el extranjero. No me tachen de “malinchista” ¡Los cursos no existían en México! En la actualidad existen un sinnúmero de cursos y certificaciones para todo tipo de especialización en seguridad. La oferta en México, como en todo el mundo, sigue creciendo. Read more

¡Ni tampoco de parranda! El tiempo pasa muy rápido ¡los días se me han ido volando! pero aquí ando nuevamente escribiendo. En fin, en este mismo sentido les comparto una extraña experiencia que me ocurrió hace un par de años en una conocida institución recaudadora de impuestos: la frase con la que inicia este blog fue la misma que le dije a personal del SAT cuando me indicó que estaba dado de baja en su sistema por “defunción”… ¡Hey, si soy yo, no estoy muerto! Sobra decir que me sentí como Sandra Bullock cuando desaparecieron sus registros en la película de “La Red”.

Adicionalmente, y por demás curioso, había sido que un par de semanas antes de que me enterara de mi “defunción fiscal”, la SHCP me había invitado gentilmente a impartir la conferencia magistral del “Día de la Seguridad de la Información”, evento que ellos mismos organizaban. En dicha plática hablaba exactamente de la importancia de mantener la información íntegra, confidencial y disponible no solo por el bien organizacional sino por las personas externas que dependían de ella. Un mal manejo en la información puede ocasionarles fuertes dolores de cabeza a muchas personas que ni la deben ni la temen. Boca de profeta diría mi madre.

Imagínese que su banco le hace un cobro indebido por un error en la cuenta origen o que le manden por equivocación una factura por un servicio que nunca solicitó, o peor aún, que lo detengan por más de 6 horas en un aeropuerto debido a que su nombre estaba asociado en el sistema a un terrorista (¡ojo! esto último le pasó hace un par de años a un amigo mío al visitar a los vecinos del norte). Un “Ud disculpe” al final se puede agradecer pero el susto, las horas y corajes que pasará para aclarar su situación nadie se las retribuirá.

Así pues para muchas organizaciones contar con un buen gobierno de la seguridad de la información no sólo es una necesidad sino una alta responsabilidad. Los errores en los sistemas son inevitables; sin embargo, muchos de nosotros, ya seamos capturistas, diseñadores de sistemas, programadores, etc., tenemos una gran responsabilidad en el manejo de la información que custodiamos. Mucha gente que ni siquiera conocemos nos lo podría agradecer.

Bueno, esta es mi opinión, ¿cuál es la suya?

A ver, ¿para qué sirve el cinturón de seguridad de un auto? Posiblemente  me dirá que en términos generales sirve para protegernos en caso de una colisión evitando que salgamos disparados a través de una ventana. Bueno, ok, ahora le pregunto si lo utiliza regularmente: no dudo que la respuesta será un “sí” definitivo. Pero se ha preguntado conscientemente ¿Por qué lo utiliza? A ver le doy unas opciones:

A) Porque Ud. es respetuoso de la ley que así lo ordena (pensando en la multa de por medio)

B) Porque le molesta el continuo pitido del auto cuando no se pone la mugre esa

C) Porque todo mundo lo usa y ha de ser bueno

D) Porque está convencido de que puede salvarle la vida.

Lo más probable es que en mayor o menor medida todas las opciones le acomoden pero en orden de prioridad seguramente la D) es una de las más socorridas pues quizá Ud. haya leído estadísticas de cuántas vidas se salvan cuando este dispositivo se utiliza correctamente o tal vez haya visto videos donde se prueba su eficacia (si no me cree, revise algunos en YouTube).

Bueno, pues yo veo una parte de la seguridad informática exactamente igual que un cinturón de seguridad: Existe porque simplemente la vida no es perfecta y necesitamos controles para prevenir o aminorar incidentes en caso de que algo malo nos ocurra. Aun más, estos controles pueden estar o no reglamentados; si lo están, entonces dejan de ser buenas ideas para convertirse en órdenes a acatar. Entonces, por favor, dígame ¿por qué no se utilizan? ¿Por qué se tratan de evitar? ¿Por qué desactivarlos?  ¿Por qué quejarse de ellos si están para apoyarnos? ¿Acaso no estamos convencidos de su uso?

Read more

Sí, lo recuerdo bien, fue hace un par de años… me encontraba probando una pequeña aplicación de hacking en una computadora que tengo en casa. Obviamente no puedo decir que se trataba de un software inofensivo pero ciertamente nada que consideraba de alta peligrosidad. Después de realizar algunas pruebas que por cierto resultaron fallidas, reinicié la máquina para seguir trabajando, y ¡tómala! Que la máquina no arranca correctamente marcando quién sabe cuántos errores.

Read more

¿Ya recibió el mensaje de correo electrónico que comenta la noticia de la supuesta muerte de Chespirito? Pues al día de hoy existen un sinnúmero de versiones de ese mensaje que ya dieron la vuelta al mundo. La mayoría de los mensajes traían una descripción de la noticia de la tragedia y anexaban una liga a internet, un archivo ejecutable o incluso un video para obtener más información. ¿Más información? Sí, como no: Era un virus que dejaba un caballo de Troya para infectar las PCs.

Read more

Yo pensaba que lo mejor que había hecho Bruce Willis era haberse casado con Demi Moore. Después vino la noticia de su divorcio y perdí el pobre interés que tenía en la vida del actor… hasta que vi la película “Duro de Matar 4.0”. Ciertamente no ganó ningún Oscar ni supongo que buenos comentarios de críticos de cine, pero al menos ganó que le dedicara algunas líneas en este blog.

Read more

¡Crisis de identidad! Con esta frase inicié una conferencia que impartí hace poco en la hermana República Dominicana: Mi formación es de sistemas, soy ingeniero en sistemas, pertenezco al área de sistemas, me encanta mi trabajo en sistemas y una de mis pasiones es ponerle seguridad a los sistemas. Por otra parte, tengo conocimientos en seguridad física, comparto mi tiempo con amigos que laboran en el área de seguridad, me encanta la seguridad electrónica y la otra parte de mi chamba es ponerle sistemas a la seguridad. ¿Qué resulta de este delicioso “cocktail” de tecnología y seguridad? Que para la gente de seguridad, soy de sistemas… y ¿qué creen? ¡A veces los de sistemas me ven de seguridad! Bonita crisis de identidad me busqué.

Y cuando trato este tema, algunos de mis colegas me comentan que hay un “divorcio” entre la seguridad informática y la seguridad física. Cuando dicen eso, la verdad yo me pregunto, ¿Divorcio? ¿Pues cuándo se casaron? Desafortunadamente yo nunca he visto o leído que algún día siquiera se “arrejuntaran”, así que no creo que hablar de un divorcio sea lo más apropiado. Al pasar de los años me he dado cuenta que las diferencias que separan a estos dos mundos de la seguridad son muchas y muy fuertes, comenzando con el perfil del personal que las dirige y opera.

Y si piensan que esta separación tiene denominación de origen y es propietaria de la región 4, olvídelo, se los niego categóricamente. Lo mismo que ocurre en su empresa o con sus proveedores, ocurre en muchos otros países del mundo. En mayor o menor medida esta separación está presente en muchos de los lugares del orbe a donde me han invitado para hablar de seguridad. Ciertamente hay esfuerzos serios por fomentar la convergencia en seguridad pero al ver la realidad que viven las empresas, me hace pensar si al día de hoy el mejor esquema de seguridad es colaborativo y no integrado. A lo mejor algún día se unen las vías, pero al menos hoy veo que el camino es de dos carriles que llegan al mismo lugar: la protección de la organización.

Después de todo esto no digo que mi crisis existencial me guste mucho pero ya me acostumbré y ¿saben? Al final del día soy muy feliz poniendo la tecnología al servicio de la seguridad, ya sea en el mundo físico o informático.

Bueno, esta es mi opinión, ¿cuál es la suya?