"Aquellos que entregan su libertad por seguridad no tendrán, ni se merecen, ninguna de las dos"
~ Benjamin Franklin (1706 - 1790)
~ Benjamin Franklin (1706 - 1790)
No tiene nada que ver, pero en esta semana se está efectuando una "auditoría de seguridad" en el lugar en el que trabajo.
Estoy seguro que no puedo revelar ningún detalle sin caer en alguna de las ridículas cláusulas que nos impiden hablar sobre lo que hacemos y probablemente es exactamente lo mismo que hacen todos los centros de IT de outsourcing del mundo, pero - como es común - no puedo sino pensar que hay algún tipo de enseñanza sobre la naturaleza humana en éste ridículo circo que hacemos cada año.
Aquí estamos restringidos de TODO. Y cuando digo "todo" es "puñeteramente todo". No puedo ni encender el volumen de mi máquina. Tengo que iniciar una forma, implorar permiso y esperar que sea aceptado para prender el audio de la máquina para tomar los cursos obligatorios de la compañía.
Hay cámaras de seguridad, todos los sitios están restringidos, me piden quitarme el sombrero cuando entro a las instalaciones*, pedir una aplicación "freeware" u "open source" es un viacrucis, durante la auditoría no puedo tener ningún tipo de decoración ni elemento que me diferencie de la persona a mi derecha**, tener permisos de administrador es impensable, todos los puertos están más que bloqueados y más me pinche vale saber quién es el bisabuelo del líder de manejo de crisis no sea que me marquen como "non compliant" y me corran. Esto es 1984 en IT, con la diferencia que en esa distopia los dejaban ejercitarse diariamente.
*Lo que en particular, al ser 67% cara y creciendo cada día, es un problema.
**Los que me conocen saben que necesito a mi patito de hule para programar.
Esto es por la "seguridad del cliente", misma que "ellos mismos exigen", por supuesto. No lo sé, encuentro genuinamente difícil de creer que haya gente que trabaje con no más de 5 archivos en su máquina local y el resto respaldado en servidores remotos. Rectificando mi argumento, no concibo cómo puede haber gente que haga lo anterior y produzca un carajo. La productividad siempre será inversamente proporcional a la seguridad. Siempre.
Ahora, si lo recuerdan, yo pasé un año en Estados Unidos con dicho cliente. ¿Y qué hizo esa entidad tan monstruosa que exige estas dracónicas medidas de seguridad? Me dio una laptop con permisos de administrador y me dejó trabajar.
Jamás en los 10 años de carrera en la IT que llevo había sido tan productivo.
Llegamos entonces a lo que yo opino es el meollo del asunto: la empresa en la que llevo 7+ años trabajando no confía en mí. Aquella empresa que visité que llevaba algunos días, sí.
Ahora bien, por más que aborrezca las medidas de seguridad, son necesarias. Sí. Necesarias. He conocido casos que me han dejado boquiabierto en la manera que astutos cabroncetes se transforman en esa persona que nos arruinan la vida a todos. Si hay una norma de seguridad absurda es porque algún imbécil ya causó problemas con ella***.
Estoy seguro que no puedo revelar ningún detalle sin caer en alguna de las ridículas cláusulas que nos impiden hablar sobre lo que hacemos y probablemente es exactamente lo mismo que hacen todos los centros de IT de outsourcing del mundo, pero - como es común - no puedo sino pensar que hay algún tipo de enseñanza sobre la naturaleza humana en éste ridículo circo que hacemos cada año.
Aquí estamos restringidos de TODO. Y cuando digo "todo" es "puñeteramente todo". No puedo ni encender el volumen de mi máquina. Tengo que iniciar una forma, implorar permiso y esperar que sea aceptado para prender el audio de la máquina para tomar los cursos obligatorios de la compañía.
Hay cámaras de seguridad, todos los sitios están restringidos, me piden quitarme el sombrero cuando entro a las instalaciones*, pedir una aplicación "freeware" u "open source" es un viacrucis, durante la auditoría no puedo tener ningún tipo de decoración ni elemento que me diferencie de la persona a mi derecha**, tener permisos de administrador es impensable, todos los puertos están más que bloqueados y más me pinche vale saber quién es el bisabuelo del líder de manejo de crisis no sea que me marquen como "non compliant" y me corran. Esto es 1984 en IT, con la diferencia que en esa distopia los dejaban ejercitarse diariamente.
*Lo que en particular, al ser 67% cara y creciendo cada día, es un problema.
**Los que me conocen saben que necesito a mi patito de hule para programar.
Esto es por la "seguridad del cliente", misma que "ellos mismos exigen", por supuesto. No lo sé, encuentro genuinamente difícil de creer que haya gente que trabaje con no más de 5 archivos en su máquina local y el resto respaldado en servidores remotos. Rectificando mi argumento, no concibo cómo puede haber gente que haga lo anterior y produzca un carajo. La productividad siempre será inversamente proporcional a la seguridad. Siempre.
Ahora, si lo recuerdan, yo pasé un año en Estados Unidos con dicho cliente. ¿Y qué hizo esa entidad tan monstruosa que exige estas dracónicas medidas de seguridad? Me dio una laptop con permisos de administrador y me dejó trabajar.
Jamás en los 10 años de carrera en la IT que llevo había sido tan productivo.
Llegamos entonces a lo que yo opino es el meollo del asunto: la empresa en la que llevo 7+ años trabajando no confía en mí. Aquella empresa que visité que llevaba algunos días, sí.
Ahora bien, por más que aborrezca las medidas de seguridad, son necesarias. Sí. Necesarias. He conocido casos que me han dejado boquiabierto en la manera que astutos cabroncetes se transforman en esa persona que nos arruinan la vida a todos. Si hay una norma de seguridad absurda es porque algún imbécil ya causó problemas con ella***.
***O porque algún otro imbécil adicto de poder en RH o Infraestructura necesita hacer su misión personal diaria el que seamos miserables. Los hay, créanme.
¿Por qué están bloqueadas las cuentas de correo personales? Porque "esa persona" ya se envió código propietario. ¿Por qué tenemos que pedir permiso para instalar el Notepad++ y no enloquecer al tratar de abrir archivos de shell en Windows? Porque "esa persona" se instaló Age of Empires II que venía crackeado e infectó a toda la red. ¿Por qué está prohibido buscar incluso hospitales en nuestra red? Porque "esa persona" simple-pinche-mente no podía dejar de revisar su faisbuk.
Lo entiendo, no confían en mí, lo entiendo***; la confianza es algo que se gana, no que se otorga desde el principio, y ahí yace el corazón de mi argumento: ¿y si pudiésemos ganar "reputación" en la empresa como usuario? ¿Y si tuviéramos un "rating" de seguridad como se les da a las personas que contratan seguros? Uno entra con lo más bajo y con buen comportamiento quizás podríamos llegar a poder instalar una terminar virtual para hacer pruebas sin necesidad de pasar por la aprobación de 27 pinches personas. ¿Y si el hecho de personalizar la calificación de seguridad implicaría que los usuarios tuvieran realmente algo que perder cuando cometan estupideces y los haría más precavidos?
***Siendo totalmente justos, yo no confío en ellos.
Probablemente sería una pesadilla de implementar, y estoy seguro que todos los que trabajan en infraestructura están leyendo esto y pensando "esos apestosos usuarios tendrán más permisos cuando me los arranquen de mis tiesas y muertas manos", pero !bueh! Se vale soñar.
¿Y ustedes, qué opinan?
!Saludos!
Atte,
El Kushiage
~ Sigo sin entender por qué necesito despertar al vicepresidente en otro país para que me den permiso de instalar un compilador de Java.
Reportado al centro en el que trabajas. Sí, por culpa de "esa persona" se prohibirá contratar a bloggers en 5, 4, 3, 2...
ResponderEliminarMuy probablemente sí. Escribir me hace feliz. La felicidad no es "compliant".
EliminarLas palizas continuarán hasta que mejore la moral.
!Saludos!
Atte,
El Kushiage.