jueves, 31 de enero de 2013 2 comentarios

Un plan para mejorar el mundo, medir mejor.

A diario todos los dias tengo 40 minutos de trayecto en coche que me permite escuchar podcast u oir la radio. Normalmente en el viaje de regreso suelo hacer esto último porque en la cadena que suelo escuchar se habla de economía y de buenas noticias.

Ante ayer me llamó mucho la atención la siguiente noticia que paso a comentar. Hablando de buenas noticias, salió a la palestra el tan odiado en otras épocas Bill Gates que hace unos días anunció que tenía un plan para solventar los grandes problemas de nuestro mundo. La noticia había sido publicada en el Wall Steet Journal y puede leerse integramente en el siguiente enlace "Bill Gates: My Plan to Fix The World's Biggest Problems".

Yo siempre he visto en Microsoft una gran empresa que ha brillado más por su aciertos que por sus fallos. Incluso en sus peores momentos, siempre la reflexión general es que esa situación debía servirles para mejorar. Y no somos capaces todavía de valorarlo con perspectiva, pero en materia de Seguridad Microsoft ha hecho mucho bien dentro de la industria. Puede parecer ilógico o exagerado pero cuantas de las metodologías de trabajo o de las rutinas de seguridad se iniciaron en el fabricante americano. Este blog ha ido recogiendo a lo largo del tiempo muchas de ellas que seguro podéis encontrar buscando la palabra Microsoft. Yo por citar algunas de ellas, quiero destacar el ciclo SDLC, la metodología de análisis de riesgos, el Threat Model, etc... pero bueno, este post no es para hablar de esta empresa sino de su fundador.
Resulta que el gran plan del señor Gates para solventar los grandes problemas del mundo es "medir bien", hacer que todo aquello que es gestionado cuente con buenas métricas.

La argumentación del señor Gates empieza recordando la era industrial y remontándose a la máquina de vapor.El micrómetro fué capaz de medir el rendimiento energético de los motores y ello permitió mejorar y perfeccionar mucho más la máquina de vapor al permitir a los inventores ver si sus cambios de diseño producían mejoras, como una mayor potencia y menor consumo de carbón, necesario para construir mejores motores. Tal como describe Gates, "en el último año, he sido golpeado por la importancia de la medición y cómo ello contribuye a la mejora de la condición humana. Se puede lograr un avance increíble si se establece un objetivo claro y se encuentra una medida que impulse el progreso hacia esa meta en un circuito de retroalimentación. La historia de cómo el señor Gates ha conseguido mejorar la situación puede leerse en el artículo pero hay un trozo del texto que pone los pelos de punta. Según la costumbre de Etiopía, los padres esperan para nombrar a un bebé porque los niños mueren a menudo durante las primeras semanas de vida. Cuando la primera hija Sebsebila nació hace tres años, siguió la tradición y esperó un mes para otorgar un nombre. Esta vez, con más confianza en las posibilidades de su nuevo bebé de la supervivencia, Sebsebila poner "Amira" - "princesa" en árabe-el espacio en blanco en la parte superior de la tarjeta de vacunación de su hija en el día en que nació. Sebsebila no es el único: muchos padres en Etiopía ahora tienen la confianza para hacer lo mismo. Os preguntaréis a estas alturas que tiene que ver esto con la seguridad pero la lectura de fondo es bastante importante. A menudo nos preocupamos en mirar el horizonte y tratar de vaticinar qué riesgos asumimos, qué riesgos tenemos que gestionar, etc... sin embargo, tenemos una gran cantidad de materia prima sin explotar, los logs. Los datos están ahí y están esperando que alguien con criterio aporte significado y sea capaz de establecer objetivos y modificar tendencias. En este último año he tenido y tengo la oportunidad de participar en una oficina de seguridad que desde el principio afrontó una doble estrategia de gestión de la seguridad. Trabajar desde arriba, a través de un SGSI que orientara los pasos hacia la mejora continua pero a su vez, construir desde abajo un conjunto de indicadores y métricas que nos aporten luz sobre lo que ocurre en el día a día. Nuestras fuentes de información son básicamente los logs de un firewall corporativo y los resultados de los antivirus distribuidos por toda la organización. Y aunque la lucha sigue abierta, si podemos afirmar que la retroalimentación negativa contribuye a la mejora al proporcionar información sobre lo que no va bien, y a su vez, confirmar que los esfuerzos cuando van en la linea correcta logran resultados. Es un ciclo de motivación continua porque evidencias que las tareas operativas que pueden parecer insignificantes son un tesoro que hay que cuidar y que deben formar parte de los "hábitos de la nueva cultura de seguridad" que un SGSI trata de implantar. Una de las asignaturas que más me gustaron en Ingeniería en Informática era la "dinámica de sistemas". En ella aprendimos a modelar el mundo y a elaborar los diagramas de forrester que nos permitían construir modelos que sirvieran para predecir comportamientos de todo tipo: ecosistemas, economía, demografía, etc... Creo que es hora de recuperar el par de libros que compré para la asignatura y empezar a plantearme cómo con las tecnologías SIEM y los resultados de la medición que se van recogiendo podemos tratar de conocer nuestro campo de batalla. De nuevo hay que recordar al maestro Sun Tzu con aquello de "Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla." Muchas veces, a los que nos toca defender la muralla solo nos queda como opción tratar de conocernos a nosotros mismos. El enemigo es invisible y nunca avisa cuando llegará.


Y a quien le suene familiar esto del feedback negativo o de la retroalimentación negativa y busque en Internet sobre ello, le sonará bastante familiar su estructura si lo compara con algo tan famoso en la gestión de la seguridad, el ciclo P-D-C-A de Demming.
 
;