jueves, septiembre 03, 2015

Las 5 claves para certificar ISO 27001

Cuando me dieron la oportunidad de llevar adelante la Gerencia de TICs de PAMI, con todo lo que ello conlleva, armar equipo, estabilizar los sistemas, planificar los 4 años de gestión,  comunicar la visión, etc… me encontré que el Sub-Gerente de Seguridad Informática en su momento, Gustavo Litvin, ya tenía una contratación por ser adjudicada de una consultoría para implementar un Sistema de Gestión de Seguridad de la Información según la Norma ISO 27001. No les voy a mentir, hasta ese momento no sabía mucho de que se trataba, y tampoco me merecía demasiada prioridad para los problemas que tenía en ese momento. Pero luego de los primeros 100 días y durante la elaboración del Plan Estratégico de TICs 2012-2015, investigue  el tema, me reuní con algunos profesionales reconocidos en la materia y junto con las autoridades tomamos la decision de incluir entre las 10 Iniciativas del Plan, la certificación de la norma, en aquél momento versión 2007. En fin, tenía 4 años por delante para realizarlo y para ello sumamos uno de los mejores talentos en la materia que venía de la industria financiera, el Ing. Patricio Losa, y a fines del 2012 comenzó el proyecto.Recuerdo uno de los consultores llamado Diego Fojo al cual volví loco en reiteradas oportunidades pero siempre respondió increíblemente con sus habilidades interpersonales y una capacidad técnica absoluta. No los aburro más con el cuento, finalmente, certificamos ISO 27001 en el 2014 y ahora estamos trabajando en ampliar el alcance y actualizar el SGSI a la versión 2013 de la norma.
Si tendría que definir cuales son las claves para lograrlo, sin ningún orden:
  1. CONSULTORES CON EXPERIENCIA EN IT. Contar con consultores que hayan pasado más de 2 proyectos de diseño e implementación de un SGSI y que sean del palo de IT es fundamental (que no vengan exclusivamente de 9001) y más que importante que lo hayan hecho en organizaciones similares y con un alcance de igual magnitud. Esto permite sumar nuevas ideas y superar lecciones aprendidas.
  2. REFERENTE IDONEO. E encargado del SGSI, debe ser interno a la compañía, el va a ser quien lleve el proyecto adelante, quien seduzca a la organización y , evangelice a las diferentes áreas. Se trata de un perfil muy complejo que debe saber lidiar con la frustración de forma positiva..
  3. APOYO DE LA DIRECCIÓN: Es indispensable que quien tome el rol de la Dirección del SGSI debe involucrarse y brindar todo el apoyo necesario (y los recursos) a las áreas para que puedan alinearse en una gestión eficiente.
  4. PACIENCIA., Cumplir con los controles de la norma es extremadamente complejo y la gente no ve el beneficio hasta que no está implementado y  se da cuenta que es la manera correcta de trabajar. Los procesos deben ser claros y fáciles de internalizar por los técnicos, algo parecido a cuando  aprendes a manejar, una vez que aprendiste a pasar los cambios, lo único en lo que pensas es en llegar a destino sano y salvo, y el proceso de manejo se vuelve automático.
  5. EQUIPO RODANTE. Una vez pasado el  el diagnóstico, se prepararon los procedimientos, los registros, y luego al tema de adopción. Aquí comienza la etapa de madurez del SGSI. En este proceso, nos sirvió muchísimo que el equipo del proyecto pase una semana entera en cada área de la organización ayudando y apalancando la implementación, explicando on-the-job como debía registrar y adoptar el SGSI.

Creo que este aporte viene de mi experiencia como Gerente de TICs y el resto de las cosas se la pueden decir los consultores, en Argentina hay muy buenos y profesionales, me topé con más de uno. Acá les dejo una de las presentaciones que dimos en el SegurInfo.
Opiniones?

miércoles, agosto 12, 2015

Y pasó KidsConf 2015!

Como todo lo que nos propusimos con le gente de conf4.it hemos logrado sobrepasar una nueva conferencia totalmente exitosa. Más de 600 personas pasaron por la primer conferencia de programación y robótica para niños de Argentina.
Realmente estoy orgulloso y no tengo mas que palabras de agradecimiento a todos lo que lo hicieron posible, entre ellos:
Los Talleristas:

  • Diego Ramirez, quien no solo dió 12 talleres seguidos de Educabot, sino que fue uno de los mentores de KidsConf
  • Nicolás Chiari y Bernardo Mallaina, del Gamer Educador con sus talleres de Minecraft EDU
  • Graciela y Eugenia de Robotica Kids con los talleres de Lego Wedo
  • Esteban Piazza y Simón Yagas con el Taller de Scratch.
  • Enrique de Rosa Prieto, con el taller de Impresión 3D.

Muy pero muy especial agradecimiento a Lara Medialdea de Programá tu futuro y Diego Pimentel de el cultural san martin.
Realmente la pasamos muy bien y disfrutamos la conferencia de punta a punta, casi 300 niños disfrutaron de la tecnología programando y disfrutando de ella desde un aspecto creativo.
En breve estamos lanzando el Blog de KidsConf y publicaremos los videos del evento, y sobre todo las interesantes charlas del track para Padres.  No me quiero olvidar de agradecer a los colaboradores, como la grosa de Tefi Miguel y Zaca Monzón que fueron fundamentales.

jueves, junio 25, 2015

Se viene KidsConf 2015

Una nueva locura entre las manos, si, KidsConf, una conferencia pensada para Niños que deseen experimentar con Programación, Juegos y Robots desde una enfoque muy divertido, totalmente pensada para principiantes.
El que me conoce sabe que el tema me inspira desde el 2013, cuando di mi primer y única conferencia contando mi experiencia enseñando a programar a Andrés con Scratch.
Luego vino ArqConf2014, java.conf4.it, arq.conf4.it 2015 y aquí estamos con KidsConf en el Centro Cultural General San Martín. No hace falta inscripción, simplemente yendo al CCGSM el día de la conferencia. Les dejo mas datos y visiten el sitio! http://kids.conf4.it

miércoles, enero 21, 2015

Es un estigma innovar y mejorar tu pais?

Hace unas semanas salió una nota en LaNación , desde mi punto de vista, patética si lo comparo con mis últimos tres años en el INSSJP. Acá va mi feedback:

En principio me gustaría decir algo que tiene que ver con lo que siento, y es que  considero que trabajar en el Estado, es a su vez, para el Estado, es decir, es para mejorar nuestro país, utilizar nuestras capacidades técnicas y profesionales, hacer lo que nos apasiona, para mejorar la salud y la calidad de vida de todos los argentinos. Ese es uno de los pilares fundamentales. También porque se da una apertura. De cada una de las personas con quienes trabajo, de todas aprendo algo, tienen algo para enseñarme, se genera un aporte de ida y vuelta. Nos proponemos desafíos diversos y de todo tipo, hay acción y ganas de trabajar. No somos parte de cumplir con un objetivo de negocio , “una cuota”, sino que creamos sistemas para mejorar el país en su conjunto.
Desde que ingresé al Instituto, se respira Innovación, pasión y motivación, una búsqueda constante por implementar tecnologías de última generación, con el fin concreto de brindar servicios de excelencia.
En ITPAMI, constituimos un equipo de profesionales y expertos IT,  visionario, que explora el futuro. Generamos comunidades de desarrollo y conocimiento,  tanto interna como externamente junto con otros Organismos Públicos y profesionales, a través de distintas actividades como Hackathones y Conferencias.
Sentimos pasión por lo que hacemos, porque sabemos que por un lado tenemos una responsabilidad enorme que requiere un criterio y una conciencia del impacto social que nuestro trabajo representa,  y por otro lado, tenemos una motivación profesional que prevalece por encima de cumplir el horario y fichar. Convencidos de lo que estamos haciendo, cuando las cosas no salen como esperamos, se genera una integración más fuerte en el equipo, para seguir y minimizar el impacto, para mantener esa mística que tiene el equipo talentoso que lidero.

En conclusión creo que lejos de ser un estigma, trabajar en el Estado es un valor. Un valor positivo tanto para el desarrollo y la carrera profesional como para el crecimiento, fortalecimiento y  mejora del país.

martes, agosto 05, 2014

DevOps en el INSSJP y comentarios personales

Estoy intentando responder la pregunta de un gran profe que tuve en mi segundo año en la UTN.FRBA, Ing. Pablo Jejcic allá por el 2000. La pregunta fue, “cual es la visión en Argentina de DevOps?” acá va mi respuesta.
Entendiendo por DevOps al conjunto de procesos y herramientas que se centran en la integración entre los equipos de desarrollo y operaciones, rol que muchas veces toma un Arquitecto que tiene que transformar las unidades de desarrollo (componentes) en unidades de despliegue (war, dll, zip, etc) y ejecución dentro de colaboración, esta metodología fomenta el uso de la automatización, para asegurar el aprovisionamiento, despliegue y monitoreo para responder a las necesidades del negocio.
Cuando comenzamos este fantástico viaje de Gerenciar las TICs del Instituto, tuvimos grandes desafios:
  • Entornos de desarrollo no homogeneos para todas las Apps
  • Muchos errores durante los Deploys
  • Diferentes versiones de Middleware, Configuraciones y Políticas en los Servidores
  • Imposibilidad para el equipo de Operaciones de monitorear o saber si el sistema estaba funcionando o no.
Nada sencillo, parte del tiempo del equipo de Liderazgo de la Gerencia estaba rogando y verificando muchísimos detalles y con más de 80 deploys por semana, que eran un desgaste increíble, mucha tensión y marcándose con el dedo entre un equipo y otro. Algo teníamos que hacer, pero tenía que se con mucho cuidado y que todos sean parte de la solución para sumarlos al mismo barco.
Como fue más o menos el plan por aplicación:
  1. Definimos una política de versionado, X.Y.Z.YYYYMMDD.N (ej. 2.1.3.20140805.1) y creamos un servidor donde el Líder de Desarrollo cargaba las unidades de despliegue por sistema y versión.
  2. Armamos entornos de desarrollo (servidor) para todas las Applicaciones, y todo deploy primero tenía que funcionar en dicho entorno, Dev podría hacer deploys pero no tocar la configuración. Luego pasaba a QA, PREPRO y PROD vía Operaciones con los instructivos.
  3. Separamos la configuración de la unidad deploy, para poder utilizar el Repo
  4. Instalamos Jenkins y fuimos automatizando el deploy de todas las aplicaciones, donde solo se desplegaba en PROD algo ya desplegado en un entorno más bajo.
  5. El equipo de desarrollo arrancó a usar un Jenkins en modo integración continua donde se ejecutan los Test y Métricas de Calidad, y que termina dejando las unidades de despliegue en el REPO.
A su vez, armamos la reunión de planificación semanal, llamada DevOps, que nació con la presentación de 10 Deploys por día de Flikr. Otro proyecto en paralelo fuimos instalando la herramienta de Gestión y Monitoreo, con Tickets y Checkeos de todo tipo, a cada aplicación le agregamos un servicio web que devolvía su estado, llamado “checksystem” y en cada deploy se verificaba su estado y obviamente el monitoreo 24x7.

¿Que estamos haciendo ahora de DevOps?
Demás está decir que este esto no termina acá, y que tenemos muchísimos proyectos relacionados con DevOps, el más interesante está relacionado con la instalación de un Orquestador de Infraestructura que nos permite automatizar el aprovisionamiento de toda la infraestructura virtualizada y despliegue automática de la configuraciones necesitadas para la misma. La herramienta que estamos usando es Puppet en conjunto con CouchDB. Esta plataforma nos permite levantar, instalar y configurar máquinas virtuales, desplegar el código fuente via Jenkins y agregar al balanceador F5 de manera automática los App Servers al cluster.
Puedo estar 2 horas de este proyecto tan interesante pero creo que alcanza para responder la pregunta, y dejo para otro momento como veo el futuro de DevOps desde mi perspectiva y la del INSSJP.

lunes, junio 02, 2014

Seminario de Actualización Profesional en Gerencia Pública Informática

Hoy comenzó un seminario muy interesante en la Sadio. Y tuve la oportunidad de escuchar a quien considero el mejor CIO de la historia de la Argentina, Jorge Linskens. La verdad que el seminario me llegó de rebote, no lo tenía en el radar pero a último momento pudimos inscribirnos y estoy super contento.
El seminario consiste en brindar una serie de clases en lo referido al ambiente público, manejo de recursos humanos, contrataciones, seguridad, sistemas de la administración publica y gestión en general.
Igual considero que ya solo con la clase de hoy el seminario valió la pena, Jorge Linskens para quienes no lo conocen, aparte de haber trabajado casi 50 años en IT (eso me pareció escuchar hoy) concretó una revolución tecnológica en AFIP allá por el 2002 y varios años más, y creo que hoy todavía AFIP sigue con la inercia de esa época donde crearon un datacenter, una arquitectura de servicios de información muy interesante (declaraciones juradas, factura electrónica, volantes de pagos electrónicos, etc). Cada vez pienso en lo que armó junto a su equipo, siempre digo que en Pami estamos haciendo lo mismo, un poco después pero con la misma visión de hacer historia, y tenemos un contexto muy favorable...
Jorge comentó la importancia de ser un funcionario publico y a quien respondemos, y dentro de su inigualable experiencia puso mucho foco en tres planos:

  1. Como aprovechar el capital humano, como subirlos al proyecto teniendo en cuenta el contexto (sueldos, gremios, sin premios ni castigos)
  2. Como crear Arquitectura Simples y Robustas, muchos me habían dicho que era un excelente técnico, como nunca lo había escuchado me encantó saber que hay CIOs tan groso en lo técnico también.
  3. Contrataciones públicas, aceptar la realidad de los tiempos y como organizarlas alineadas con la Arquitectura y como escribir pliegos para evitar litigios con los proveedores (capitulo aparte).

 Como lo dije anteriormente, ya hoy valió el seminario, va a ser dificil que los próximos profes puedan mejorar esto, dejó la vara super alta :)

viernes, agosto 23, 2013

Video de Dibujar, Pintar y Programar

Tarde pero seguro, aquí está el video de la charla que di en mayo de este año “Dibujar, pintar y programar” en el marco de las Jornadas de Creatividad e Innovación en la UBA.
A modo de reflexión, quiero insistir, en el importante rol, que, creo yo, no nos damos cuenta que tenemos los adultos cuando le “ponemos” una pantalla enfrente a nuestros niños.
Creo que está bueno pensar, en los chicos como creadores tecnológicos, y tratar de evitar, en lo posible, que sean 100% consumidores digitales y nada más. Me parece que está bueno que traten de usar la tecnología de la forma más “creativa” posible.
Ojalá les guste, saludos a todos!