Llegamos a ustedes gracias a:



Columnas de opinión

Cuídese de los habladores

Por: Roger A. Grimes, Arquitecto Principal de Seguridad en Microsoft

[25/03/2013] El mundo de la seguridad informática está lleno de habladores, y todos nosotros hemos sido "aconsejados" al menos por uno de ellos.
Todo lo que quiere en un consultor de seguridad de TI es experiencia, asesoramiento imparcial y recomendaciones con conocimiento, a un precio razonable. Pero con algunos, consigue mucho más de lo que esperaba.
Por ejemplo: productos caros que resuelven pequeños problemas. Sorpresas sobre el conjunto de características, las cuales aparecen después de haber firmado ya la línea punteada. Desconocimiento de los plazos de entrega o de lo que le suceda a sus sistemas una vez que el trabajo está hecho.
A menudo es difícil ver venir las prácticas oscuras. Después de todo, quienes las emplean a veces trabajan para las firmas más prestigiosas, dan el más cordial apretón de manos, expresan compasión por sus problemas de seguridad; y, algunos ni siquiera son maliciosos, solo que no saben cómo resolverle eficazmente sus problemas.
Aquí hay 14 trucos sucios de seguridad de TI de los que debe cuidarse antes de traer a ese consultor o proveedor de fuera. Si ha experimentado uno de estos o tiene otro que ofrecer, compártalo en los comentarios.
1. Fingir experiencia práctica
Un divertido comercial de televisión mostraba una vez a un par de consultores de tecnología poniéndose nerviosos cuando pedían ayuda para desplegar la solución que acababan de diseñar. Hey, solo somos los consultores, argumentaban.
Como la mayoría de las tiras cómicas de "Dilbert", hay más de un poco de verdad en el trabajo aquí: Muchos consultores nunca han desplegado las soluciones que están vendiendo.
Todos nos hemos encontrado con esta situación, ya sea en forma de una mentira acerca de la experiencia práctica o simplemente como un consultor de TI que es menos dispuesto de lo que debería a subirse las mangas y ponerse a trabajar.
Si desea evitar a estos consultores, solo pregunte, "¿Cuántas veces ha implementado la solución específica que está recomendando en este momento?" Luego continué: "¿Puede darme referencias?"
2. Proponer una solución para todo
Algunos consultores de seguridad de TI están muy dispuestos a describir su producto como la solución que ha estado esperando para resolver todos (o la mayoría) de sus problemas de seguridad informática.
Ni siquiera se toman el tiempo de escuchar sus problemas. Sus ojos se ponen vidriosos en cualquier momento que le esté hablando. No pueden esperar para empezar a interrumpirlo de nuevo para comentarle acerca de esta maravillosa solución que le han traído para usted en el momento preciso.
Solo hay un problema: ninguno de los últimos clientes de la consultora ha resuelto todos sus problemas de seguridad.
Cuando le pregunte a un consultor si ha empleado esta táctica con clientes anteriores y ha resuelto sus problemas de seguridad, va a decir que sí. Cuando le pide referencias de clientes, se mostrará sorprendido, le dará advertencias, y lo animará a que no los llame. Si llama y encuentra la verdad, espere a escuchar el reclamo del consultor diciendo que la instalación ha fallado porque el cliente no puso en práctica la solución de la forma en que les indicó, la personalizó demasiado, o simplemente no lo escucharon.
No se deje engañar por las afirmaciones de incompetencia cuando se trata de clientes anteriores.
3. Palabrería de conocimientos
¿Cuántas veces un consultor afirma que es un experto en un área en particular, y queda desenmascarado porque usan incorrectamente los términos técnicos?
A veces ni siquiera tiene que cavar muy profundo o pedirles nada técnico. Uno de mis encuentros favoritos con esta práctica en particular fue cuando un "novel experto certificado" apareció para ayudar a mi empresa con la red Novell. No estoy bromeando. El tipo decía ser maestro en una tecnología en particular que no sabía ni pronunciar correctamente. Fue tan gracioso como bochornoso.
4. Presión por ofertas
Tomar decisiones apresuradas es contrario a las tácticas de venta recomendadas. ¿Cuántas veces hemos escuchado esto?: "Hey, le doy 20% de descuento del precio regular si compra hoy, antes de finalizar el trimestre".
Yo no sé usted, pero cada vez que me ofrecen un descuento para comprar en un día en particular, siempre espero hasta después de esa fecha y espero el mismo descuento.
Estoy seguro de que comprar pronto ayudaría a que el bono de ellos más grande -pero no me importa su bono. Me preocupo por mi compañía. Si quieren un bono más grande, es mejor que no me hagan sentir como un idiota por no implementar sus productos hoy. Un argumento respecto a las ganancias de ellos es la última de mis preocupaciones, especialmente si siento que están tratando de apresurar mi decisión.
5. Endulzar el ojo
No me interesan que los proveedores lleven gente guapa a una reunión de ventas, siempre y cuando estén bien informados sobre el producto. Pero cuando estos vendedores trofeo no tienen ni idea acerca de la oferta y tienen poca o ninguna experiencia en la industria, están perdiendo un asiento en la sala de conferencias.
El empleo de modelos en una conferencia de seguridad es una cosa. Pero cuando hemos ido más allá de la entrega de folletos y han comenzado una demo y una sesión de preguntas y respuestas, es hora de ponerse serios. En mí influyen el conocimiento y la experiencia, no una sonrisa bonita.
6. Recomendar soluciones pequeñas a problemas específicos por bastante dinero
¿Alguna vez ha tenido a un consultor hablándole de un nuevo y espléndido producto que es genial en la detección de XYZ? "Es un tema complejo que es difícil de detener, pero este producto lo hace mejor que cualquier otro".
Antes de registrarse para obtener esta solución cara, específica, hágase dos preguntas: ¿Su empresa ha sido atacada por XYZ antes? Y ¿tiene su compañía probabilidades de ser atacada de esa manera en el futuro?
Si la respuesta es no a ambas preguntas, entonces reconsidere la compra, no importa cuán impresionante sea la solución.
7. Sobornos de viajes
Vienen y le insinúan que si compra su producto, ellos podrán "recomendarlo" como visitante de su conferencia anual en algún lugar exótico: "Compre nuestros caros IPS y pronto tendrá una semana en Maui". O financian un costoso viaje de "networking" para usted antes de comprar el producto.
No puedo decir que realmente odie esta técnica, a pesar de que su consultor sugiera que por lo general es poco ética e ilegal a veces. ¿Quién no quiere visitar un lugar de vacaciones agradable, con estancia en un hotel cinco estrellas, y comer en restaurantes que de otra manera nunca podría pagar?
Por supuesto, siempre se arruina cuando decide no comprar. Cuando me ofrecen algo que podría ser confundido con un soborno, creo que lo mejor es que no lo compre, solo para que nadie tenga una idea equivocada. Pero, ¡gracias por el viaje!
8. Una última cosa
Odio este truco más que nada. El consultor se jacta y presume de una solución particular, incluso sus demos son asombrosas. Va a comprar 10 de ellas. A continuación, después de haber convencido a la gerencia para que asigne el dinero para la compra, el consultor le dice un pequeño hecho que aplasta todas las ventajas.
Me han dicho después de firmar un contrato que el almacenamiento de datos que me mostraron en la demo, que me pareció que era parte del producto, es extra. Tras la firma de un contacto, me han dicho que la solución tiene algunos errores. Esos errores invalidan el producto. Me han dicho, después del contrato que la solución no funciona tan bien en mi empresa extendida, aunque el consultor estaba muy familiarizado con el entorno. He tenido consultores que dejan de lado los costos anuales de servicio, las actualizaciones obligatorias, y todo tipo de detalles que hicieron que lo que yo pensaba que era una buena decisión, se convierta en una mala decisión.
Y te dicen la nueva información con una sonrisa.
9. Ignorar las fechas límites que usted tiene
Desde el principio, le indica al consultor o proveedor su fecha límite para terminar una implementación o proyecto en particular. Ellos trabajan con usted, ganan su confianza y la solución parece perfecta para su empresa. Coloca su orden, y de repente no tienen un producto, instaladores, o entrenadores que se ajustan a su calendario. Se apura y espera.
Usted se pregunta cómo es que ellos no lo escucharon repetir desde el comienzo que preguntaba si podrían cumplir con las fechas esperadas. Los cambios de fechas lo fuerzan a tomar otra decisión de compra, ampliar el presupuesto, o reprogramar unas vacaciones importantes. No es divertido.
10. Promocionar un producto – recibir patadas
Esperamos que los consultores sean imparciales y recomienden las mejores soluciones a nuestras empresas. Muchos consultores ganan dinero extra de sus "socios" por impulsar soluciones particulares. Lo entendemos. Pero impulsar un producto sin antes hablar con usted sobre el posible conflicto de interés, va más allá de los límites.
Recuerdo un consultor, hace muchos años, que me aconsejó sobre qué equipos de red comprar. Él no me dijo que él estaba recibiendo beneficios de un proveedor, y después de que nos hicimos amigos, o eso creía yo, me engañó para comprar más equipos de red de los que podría usar alguna vez. Tenía suficientes puertos de red para tres veces las conexiones Ethernet que necesitábamos.
Al día de hoy, tengo recuerdos de todo ese equipo, cientos de miles de dólares, sentados sin utilizar en el almacén. Fue mi error. ¿El consultor? Compró un barco nuevo ese año.
11. Recomendar a sabiendas productos que se descontinuarán
Recientemente me he encontrado con dos clientes que fueron engañados en la compra de soluciones con pocos meses de vida.
En un caso, fueron equipos de red de alta velocidad. El otro fue una solución de control de acceso a la red. Cada uno costó mega dólares para desplegar lo que terminó siendo un producto descontinuado. En un caso, al consultor más tarde se le escapó que él sospechaba que la solución iba a ser interrumpida porque había oído que todos los desarrolladores fueron despedidos el año anterior.
¿No es algo que se desee saber antes de tomar una decisión de compra?
12. Decir una cosa y firmar otra
Una cosa en que los consultores son muy buenos es en traducir sus necesidades a las nomenclaturas de compra de un proveedor. Esto es especialmente importante cuando hay personalización, o la compra de una solución parcial. ¿Usted pide X de esto e Y de aquello, y el consultor le asegura que estas necesidades serán satisfechas, eliminando cualquier malentendido posible.
Excepto cuando no lo hacen.
No importa cuántas veces le digan que lo va a tener, asegúrese de que sea parte del contrato. Muy frecuentemente el producto llega, se supone que el proyecto debe comenzar y algo falta -algo caro. El cliente va donde el proveedor y encuentra que el consultor no incluyó un artículo particular en el contrato.
El consultor replicará que ellos fueron claros acerca de lo que estaba y no estaba en el contrato, aunque usted esté plenamente seguro de que lo que le dijeron verbalmente fue diferente. Entonces tiene que traer un presupuesto adicional para conseguir lo que quiere y no arruinar el proyecto en su totalidad.
13. Estafas en las cuentas
Los médicos hacen un juramento de no hacer daño a sus pacientes cuando ejerzan. Desearía que los consultores tengan un juramento similar.
Con demasiada frecuencia, los consultores implementan mal los proyectos, dejando que sus clientes soporten cortes en el servicio a su paso. Sabiendo que lo único que cambió en su entorno fue lo que el consultor acaba de instalar, tiene que ser consecuencia de ello. Pero eso solo lleva al consultor a preguntarse abiertamente si algo no relacionado es la causa de la falla en el mismo sistema que ellos instalaron.
Insista en un contrato que haga a su consultor responsable de las interrupciones del servicio inesperadas debido a causas ajenas a su cuenta.
14. Consultores que hacen grandes cambios antes de salir
Por último, mi truco favorito de consultor es aquel en el que se realiza un cambio importante justo antes de que se suban a un avión a casa por todo el fin de semana, o toman unas largas vacaciones. Claro, el corte resultante no siempre es culpa de ellos, pero si va a hacer grandes cambios en una red informática, hágalo un par de días antes de escaparse de la ciudad. No hay nada peor que tener que dejar varios mensajes sin respuesta, mientras que su base de usuarios está experimentando un tiempo de inactividad.
InfoWorld (EE.UU.)
Roger A. Grimes contribuye frecuentemente con el Centro de Pruebas de InfoWorld. Cuenta con más de 40 certificaciones y es autor de ocho libros sobre la seguridad informática. Él ha estado luchando contra el malware y los hackers desde 1987, comenzando con el desmontaje de los primeros virus en DOS. En la actualidad gestiona ocho honeypots para rastrear el comportamiento del malware y hackers, y asesora a empresas que van desde aquellas que están en la lista Fortune 100 a pequeñas empresas. Es orador frecuente en eventos de la industria y educador. Roger actualmente trabaja para Microsoft como Arquitecto Principal de Seguridad. También escribe el blog titulado Security Adviser.