Estimados amigos de Inseguros!!!
Hace poco he participado en un proyecto público para el cambio de varios equipos de electrónica de red, en concreto firewall´s. Antes ya pensaba lo mismo, pero como lo tengo reciente se me ha ocurrido reflexionar sobre ello.
Hablo del concepto de MIMAR tus sistemas, tratarlos bien, configurarlos con cariño...
Como todo en la vida, lo que haces con gusto, con cariño, con pasión, casi siempre suele tener mejores resultados que lo que haces a disgusto.
A lo largo de mi vida se me han presentado empresas con proyectos IT de todo tipo. Desde una centralita de telefonía, un hardware cualquiera, ERP, etc etc. Con el tiempo, he aprendido a encontrar proveedores que se adaptan al volumen de mi organización. Por ejemplo, si necesitas un ERP para una empresa de 200 personas, no compras SAP, el lider mundial, ni tampoco compres un software freeware en softonic o similares. Como veis, he mezclado proveedores y productos.
Una cosa es el producto en si, y otra muy distinta la empresa que lo implementa. El coste medio de un proyecto suele ser 50/50 licencias/hardware y servicios de instalación,soporte, etc.
Vamos a poner ejemplo "mega-empresa".
Mega Empresa.
El proveedor que te presenta el presupuesto del proyecto en 50 folios, a color !!! en un dossier, con una portada, una introducción a la empresa, su misión,valores, etc. Una descripción ejecutiva, para que el gerente la entienda. Un sin fin de imágenes de ejemplo, las que quiere el jefe, gráficas, report, control, seguridad, productividad, etc... Suelen acompañar un time-line de la ejecución del proyecto, en el que se explica de forma gráfica las fases y fechas. Por último, si tenemos suerte, nos envían el presupuesto !!! Ampliamente detallado, con horas asignadas para el director del proyecto, otras para soporte, otras para implementación técnica, formación, reuniones de seguimiento y un montón de cosas.
Al parecer, estas empresas hacen bien su trabajo...SI, si fuera cierto.
La realidad es que esas grandes empresas, con la escusa de que forman a los técnicos, y la crisis que existe, posiblemente pague 1200€ a los técnicos, como mucho. Tenemos un handicap ahí que es la motivación del empleado. Otro handicap es que una persona que realmente controla sobra una tecnología, sea la que sea, no cobra 1200€ o no al menos por mucho tiempo.
Al final ese proyecto fabuloso que te entregan, es un copia y pega hecho para TODOS los clientes, en donde solo cambia lo que a MI me interesa, precio de equipo/licencias y servicios. La persona que va a venir a mi empresa a instalarlo será ese técnico infravalorado o sobrevalorado...
El resultado suele que con suerte, todo funcionará, y todo irá en plazos y precios presupuestados. Puede ser que por cualquier motivo, el presupuesto se desvíe al alza, es lógico, siempre pago yo, ellos nunca pierden.
La gracia de todo esto es que cuando tu gerente quiere ver esos gráficos, esos informes, suele pasar que no se compró ese modulo, pero si que pusieron la foto. Hay que pagar. En el 90 % de los casos el problema es interno, organizativo, de las personas. Si queremos tener BUENA CALIDAD en los datos, debemos meter BUENA CALIDAD en los datos. Por ejemplo, si tu administrativo NO tiene problemas con meter la dirección de un cliente bien, con comas, puntos, nombres exactos, etc, tendrás un buen Output. Si tu administrativo es un PATAN y mete toda la dirección de golpe, o se le suele olvidar el código postal, o cualquier cosa, el OUTPUT de ese programa tan mágico no será el que ofertaron en la foto. Esto es un ejemplo, se me ocurren MILES de casos en los que una organización no está preparada para un proyecto así, pero se compra el software, hardware, servicios y al final mueren en la parte interna.
Vuelvo SIEMPRE a lo mismo, Procesos, Personas y Tecnología.
Entonces, como conclusión de todo esto, mi elección en el proveedor no su basa en la calidad del presupuesto, sino en lo que SE de ellos. Si tienen buenos técnicos, malos, si conozco a alguien, me informo, los audito por encima ( xD ) para ver si realmente son tan buenos como parecen.
Que no me pase como una empresa que quería darme trabajo para LOPD y antes de entrar por la puerta, ya tenían un "kinomakino" en una carpeta de sus servidores...
Cuando instalas un Firewall CISCO, CHECKPOINT, FORTINET, MIKROTIK, etc, ellos te dan una base hardware/software para configurarlo. El instalador te configurará unas reglas, las que te proporcionan acceso a Internet, y te protegen o mejor dicho te Natean puertos internos-externos para tus servicios públicos. PUNTO. Esto para mi es REDES no es SEGURIDAD.
Si no realizas una labor posterior de configuración, de MIMOS, de cuidados al firewall, seguirás expuesto a los riesgos de ahora, IGUAL que con un firewall menor.
Tienes que implementar reglas anti-ddos, las que van saliendo. Tienes que implementar blacklist tanto de entrada COMO DE SALIDA, por ejemplo, para que si se infectan con un programa que se comunica con el exterior a un C&C, ejemplo virus CORREOS, no se produzca dicha conexión. Tienes que gestionar si vas a habilitar el bloqueo de la red TOR o no. Tienes que gestionar un botón del pánico para mitigar ataques de ddos basados en países. Todo esto es Firewall, no es UTM, no IDS, son acciones de configuración que debemos realizar periódicamente en nuestro sistema Firewall.
Repasar los logs !!! que bien, miles y miles de lineas con eventos, vamos a encontrar algo? vamos a tener que definir que acciones DROP o ACCEPT van a generar log?.
Como ves, para el caso concreto del Firewall, un cambio de hierro por hierro, reglas por reglas. NO VA A MEJORAR LA SEGURIDAD DE LA EMPRESA, por lo que no sirve el manual, las pantallas bonitas en el presupuesto. No vas a necesitar la dirección de nadie.
No soy partidario, como podéis imaginar, de acudir a los Vendors o los fabricantes de hardware directamente si lo que necesitas son servicios. Mas vale tener precio para el hardware, y buscar una empresa que de esos servicios de CALIDAD. Si no lo encuentras, quizás sea mas barato formarte tu, certificarte en el producto. No creas que cuando te venden las horas de Expertos, esa persona es más experta que tú. Tendrá mas experiencia, porque lo hace todos los días, pero si SIEMPRE hace lo mismo, y no le da CARIÑO a sus despliegues, con poco que estudies y te preocupes, conseguirás mejores resultados.
Espero que reflexiones sobre esto a la hora de gestionar una compra. Es más comodo delegar todo en el proveedor, pero esto significa peores resultados.
Si tienes hardware/software en uso, y estás pensando en cambiarlo, piensa primero que esperas de esa cambio, y sobre todo, que cambio es necesario. Todos queremos un hierro nuevo para jugar, pero a veces con el que tenemos podemos conseguir resultados parecidos a los obtenidos con el nuevo juguete, sin que eso conlleve el gasto.
Espero que os guste la reflexión.
Y ahora digo yo, ¿MIMAS TUS SISTEMAS? xD