La depreciación del mercado español de las TI, seguridad de la información y auditoría de tecnología

Hola,

Lo comentaba el otro día en twitter. Me alegra mucho que el mercado de la seguridad y la auditoría empiecen a moverse de nuevo en España, pero por otro lado, no estoy demasiado contento con esta nueva hornada, especialmente en lo que a salarios y beneficios para los potenciales candidatos se refiere.

Este es un tema que provoca mucha tensión, como cualquier otro que tenga que ver con la relación entre empleador y empleado, y que tenga como trasfondo el impacto al bolsillo, a la calidad de vida o a cualquier otra cosa que se estime como crítica en la relación. En ningún caso vengo aquí a hacer sindicalismo barato, ni a defender o a atacar ni a unos ni a otros. Quiero limitarme a expresar lo que creo que está pasando, y espero que este mensaje sea captado tal y como lo escribo.

Como todos sabemos, el mercado laboral español está profundamente dañado. Para muestra, si todavía hace falta, un botón. Las razones se amontonan en lo alto de la mesa, y tampoco aquí es fácil alcanzar consenso sobre quién o quiénes son responsables de este desolador panorama. Tampoco voy a hablar de ello aquí hoy, entre otras cosas porque tampoco dispongo de los datos para ello.

Como consecuencia de los gravísimos problemas económicos que por desgracia asolan España, el empleo lleva mucho tiempo en caída libre y por lo que se ve, la cosa no tiene visos de mejorar. En el mundo de las TI, especialmente en lo que a seguridad y auditoría se refiere, llevo sin embargo observando que desde el último trimestre de 2010 el número de ofertas está creciendo, especialmente en lo que llevamos de Enero (también es normal, los presupuestos 2011 están calentitos y los responsables cuyas partidas han sido aprobadas en el cierre de 2010 están tirando de billetera). En este blog hay una sección llamada Empleo en la que se captan RSS de algunas fuentes, y donde es fácil comprobar que efectivamente, hay oferta. Llevo tiempo queriendo eliminar esa sección por ofrecer una visión algo limitada, pero varias personas me han pedido que por favor la deje, que la encuentran útil. Siempre les digo que los especialistas deben buscar trabajo en otros lugares también, no sólo en los portales generalistas como los que conforman el servicio que describo.

Sea como fuere, el hecho de que las ofertas en el mundo de la seguridad y auditoría existen es un hecho, y es motivo de alegría. Lo que es discutible es la calidad de muchas de ellas, que si ya de por sí eran precarias en los años de barra libre y bonanza, están empezando a ser absolutamente ridículas en cuanto a lo que se ofrece a los candidatos, comparado con la valía solicitada.

Este es el terreno donde es fácil tirar de sindicalismo barato y tildar a todos los empresarios como negreros, aprovechados y esa larga lista de imbecilidades que suelen emanar de la boca de la gente desinformada. Que hay empresarios rapaces y desalmados es cierto, pero no todos son así. Yo por lo menos no tengo esa sensación, no sólo de los empresarios con los que he colaborado en mi trayectoria profesional, sino de aquellos con los que han colaborado o colaboran conocidos míos que me cuentan cómo les van las cosas. Además de los rapaces, que estos existen y existirán siempre, hay muchos empresarios cuyo descenso de ingresos ha provocado que tengan que salir al mercado con ofertas a precios y márgenes reducidos para poder seguir operando. Los que antes te facturaban 1500 euros al día por un consultor senior, ahora tienen que salir con ofertas de 500 euros día, e incluso mucho menos.

Como es lógico, si tienes márgenes reducidos y tienes que tirar precios, el siguiente problema es inmediatamente identificable: si antes pagaba 40.000 euros al año por un especialista senior, ahora pago 25.000. Y con suerte. Es posible mantener salarios y condiciones altas a costa de la cuenta de resultados (y de que los socios se lleven menos porción del pastel cuando toca repartir beneficios), pero muchos prefieren reducir costes de personal y no tocar sus ingresos. Es una opción, como lo puede ser otra cualquiera, y en el caso de emprendedores que realmente están con la soga al cuello, y que a pesar de ello se niegan a naufragar, quizás sea mejor que existan ofertas precarias que no existan dichas ofertas. Todo depende del cristal con el que se mire.

Todas estas cosas están provocando que, aunque el mercado se mueva, quizás se está moviendo hacia atrás. Salvo raras excepciones, los salarios no es que se hayan reducido, es que están muchas veces en la categoría de ridículos, y los pocos que ofrecían beneficios sociales como parte de la oferta salarial, están metiendo la tijera aquí también, y muchos aspirantes deben conformarse con un talorario de ticket restaurant como único beneficio. Y con suerte. Sobre conciliar la vida laboral y personal mejor ni hablemos, ya sabemos todos de qué van esas jornadas maratonianas de 10 y 12 horas al día con las que sólo puedes conciliar con la valeriana y la manzanilla para tratar de dormir mejor día tras día.

Lo peligroso de ir a un modelo productivo basado en lo precario y lo barato es que, salvo contadas excepciones, la calidad de los servicios se merma instantáneamente. Si necesitas un administrador de mainframe con 10 años de experiencia, no pretendas que trabaje para ti por 30.000 euros al año, porque puede doblar su salario si sabe moverse, y sin salir de las fronteras. Saliendo, lo triplicará fácilmente. Si pagas poco, lo normal es que recibas poco, y si tienes la suerte de pillar a alguien bueno que necesita empleo urgentemente, probablemente te deje en la estacada tan pronto le mejoren las condiciones. Y esto funciona en el otro sentido: si eres un privilegiado bien remunerado, amigo mío, lo que se espera de ti es que cumplas con las expectativas, y que en vez de pasarte el día apoltronado leyendo el Feisbuk, el Marca y el Menéame, hagas tu trabajo y cumplas con lo que se espera de ti. Ser productivos y ofrecer un producto de calidad es responsabilidad compartida de empleadores y empleados.

Espero y deseo que las condiciones en España mejoren para todos, no sólo para los profesionales de la seguridad y la auditoría, porque eso sería un síntoma de mejoría que sería bien recibido por todas las partes. Lamentablemente, esto que es tan fácil escribir, requiere un cambio tan profundo en el modelo productivo que yo sinceramente, no creo que vayamos a alcanzar ni en el corto ni medio plazo. Y por lo que se atisba, dudo si en el largo. Espero sinceramente equivocarme y que dentro de algún tiempo minéis de comentarios este artículo poniéndome verde por haber metido la pata.

Un saludo, y buena suerte para todos.

10 predicciones de seguridad para 2011

Hola,

Aprovechando que va quedando menos para el fin de año, aquí os dejo algunas ideas para el 2011. Algunas están estrictamente relacionadas con la seguridad, otras sólo en parte. No deja de ser un ejercicio en que se pretende arrojar ideas, las cuales sois libres de comentar :)

Tranquilos, que no son muchas, y están escritas en un tono coloquial para no parecer muy dramático. Allá vamos.

  1. La gente seguirá confundiendo la seguridad doméstica y la corporativa. Nos queda mucho por recorrer para explicar cosas tan básicas como por qué una organización no puede parchear un sistema operativo nada más salir un parche, por qué es ineficiente -e inalcanzable- pretender tener una seguridad que arañe el 100% o por qué no es lo mismo mantener y monitorizar dos ordenadores en tu cuarto que 50.000 PCs en los 5 continentes. ¿Suena obvio, verdad? Pues yo todavía sigo escuchando a gente decir «no entiendo como esa empresa lleva dos meses sin actualizar los servidores«.
  2. La gente seguirá perdiendo el tiempo comparando Windows y Linux. Esto no cambiará jamás, especialmente en lo que a seguridad se refiere. Estamos todavía lejos de que la gente comprenda que en el mundo de los sistemas operativos lo que es verdaderamente relevante es obtener mantenibilidad, usabilidad, rendimiento y seguridad en la justa proporción según el caso, y que esto se puede hacer con CUALQUIER sistema operativo. Hay que seguir trabajando en explicarle a la gente que en los negocios el riesgo está, además de en el sistema, en otros aspectos como el proceso en sí, el riesgo operacional, las aplicaciones, las comunicaciones, la motorización, lo bien que se haga la configuración de seguridad …
  3. Muchos seguirán teniendo una versión limitada y obtusa del cloud computing. Para estos sujetos, este tipo de modelo seguirá estando exclusivamente representado por el uso de Windows Live Office, Google Docs, el Facebook, sus adláteres y usar un netbook con Chrome OS. Habrá que dedicar esfuerzos en 2011 para explicar que hay vida más allá de esa visión: centros de datos con replicación en tiempo real, interconexión MPLS -mira que tiene años-, almacenamiento virtual, accesos a infraestructura crítica desde localizaciones remotas, reducción de costes energéticos, el trabajo con terceras partes, los SLA, la dificultad en la contratación, los problemas legales debidos al cumplimiento, los nuevos modelos de seguridad, donde unos explotan y otros administran infraestructura, y ese largo etcétera que desarrollaremos en el blog convenientemente. Y sí, seguirá habiendo aburridos eventos de seguridad en los que sólo se hable de cloud computing y en los que se repiten una y otra vez las mismas monsergas teóricas que llevamos oyendo años, sin poner en lo alto de la mesa soluciones reales.
  4. Muchos verán en el NAC y el DLP sus nuevos santos griales, pero cuando acudan al mercado y se enteren de lo que cuesta implementar y mantener este tipo de soluciones, se les quitará de la cabeza. En el mejor de los casos, se exprimirán los cerebros para ir aproximándose a estos modelos gradualmente y en el caso ideal, se darán cuenta antes de extender el talonario que este tipo de estrategias requiere una madurez muy fuerte, en cuanto a tecnología, procesos y personas, que por lo general no está presente.
  5. La gestión de identidades será objeto de deseo de muchas organizaciones, pero pocas serán capaces de implementar con éxito un modelo completo de provisión de identidades, gestión de roles y responsabilidades y mecanismos de cumplimiento. Amigos, esto no es un cuestión de comprar software, servidores y mano de obra barata, aquí hay que analizar de cabo a rabo los procesos -TODOS- que tienen que ver con identidades, hay que tener una estructura clara para completar el programa, hay que definir un modelo de identidades, hay que elegir bien a los implementadores y hay que trabajar mucho y duro para mantener. Los beneficios son espectaculares, pero esto no es moco de pavo. Seamos graduales, que atragantarse con este bocado es lo que normal en el 99% de los casos si se mastica demasiado rápido.
  6. Los que nos dedicamos a la investigación forense estamos de enhorabuena: de extraños sujetos aptos cuasi exclusivamente para recopilar evidencias para llevarlas al juzgado seremos, poco a poco, consultados más y más, ya no sólo por los problemas de fuera, sino los de dentro. En un mundo global e interconectado, las aportaciones de un equipo forense pueden ser determinantes en cada vez más y más escenarios.
  7. El malware seguirá haciendo mella en los bolsillos de los usuarios y en la información clasificada de las organizaciones. Y poco podemos hacer para evitarlo, más allá de volver a plantearnos qué estamos haciendo bien, que estamos haciendo mal, y cuál es el mejor camino de reducir al mínimo los problemas que derivan del malware. La situación es tan grave que hay que volver a examinarlo todo, analizar todos los procesos y determinar dónde fallan los controles. Este es un problema que va para largo, y más vale ir adquiriendo una mentalidad a largo plazo, no cortoplacista. Y por favor, vamos a bajarnos del caballo en el que este problema se resuelve con antivirus, HIPS y NIDS/NIPS, que ya ha quedado claro que no son suficientes.
  8. Complementando a lo anterior, Los 0-day serán frecuentes y los ataques dirigidos, el pan nuestro de cada día. Los amigos de lo ajeno son conscientes de que aquí hay oportunidades claras y manifiestas para llenar sus cuentas corrientes, y van a seguir en su línea, profesionalizándose más y más, poniéndonos las cosas cada vez más difíciles. Y estos van a estrujar hasta ahogar.
  9. Después de n años vaticinando que este sería el año de IPv6, parece que de una vez por todas, así va a ser. No ahondaré más en el asunto, que peores cosas hemos visto :)
  10. El imparable avance tecnológico y las cada vez más crecientes tasas de penetración de las tecnologías en la sociedad seguirán siendo muy relevantes, pero en paralelo, como no podía ser de otro modo, la movilidad, el número de víctimas potenciales, la más que previsible falta de formación de muchos de ellos y los modelos sociales 2.0 harán que esto sea una fiesta para los amigos de los ajeno y para aquellos que están recopilando información personal (legal e ilegalmente) para luego venderla al mejor postor. Pasen y vean, el show no ha hecho más que comenzar.

En fin, solo sólo 10 ideas de las muchas que podríamos escribir. Si ves que falta algo, o si estás en contra de alguno de los argumentos, eres libre de dejar tu comentario :)

Un saludo,