domingo, 25 de noviembre de 2012

Retrospectiva Agile Open Seguridad BA 2012


Cifras crudas


TIEMPOSLa PreviaAOSTotal
Mails enviados (1 min c/u)127148275
Mails recibidos (1 min c/u)12072192

Difusión personal en ekoparty, cafe-in,
radio pasillo, twiter, skype
6h1h7h
Edición de páginas y confección de
mails de convocatoria
2h1h3h
Total tiempo12h6h18h



Efectividad inscripciónLa PreviaAOSTotal
Inscriptos164359
Asistentes71825



Detalles 


El haber interactuado con una institución grande como es UB trajo un cierto sufrimiento. No fué simplemente acordar una fecha y un lugar sino que encajara con los planes y agenda de eventos de la UB.

Sin embargo, a diferencia del Agile Open Rosario de hace un par de años en el marco del Polo Tecnológico, esto fue un lecho de rosas. Para hacerse una idea no he publicado esa  retrospectiva.

Para la fecha en que el evento había sido convocado originalmente ya había pasado, recién se acordó la fecha para casi tres meses despues. Esto abrió inicialmente dos caminos: tirar todo por la borda y hacer ya el evento en algún lugar pequeño o esperar con paciencia.

Soy muy amarrete para lo primero y carezco de lo último, conflicto gracias al cual surgió una tercera posibilidad, comer el pan y la torta. Esto es, hacer el evento en UB tal como se había arreglado y hacer ya el evento en un lugar pequeño, gracias a JP de SVC.

Para darle valor al primer evento, se generó tarea para utilizar las retrospectivas en el segundo, la convocatoria fue parecida a esta:



El AOS de este año será en la Universidad de Belgrano el día 24 de Noviembre, tan lejos que parece un espejismo. Tratando de sacar ventaja de este potencial temporal de cerca de dos meses, haremos algo asi como un mini agile, "La Previa". La idea es discutir un poco lo que ibamos a discutir pero haciendo eje en llevarnos alguna tarea que relacione Agile con Seguridad y viceversa, por ejemplo:

  • implementar una mínima revisión de seguridad para un proyecto nuevo
  • implementar una mínima revisión de seguridad de la arquitectura de un proyecto existente
  • implementar alguna técnica de seguridad en desarrollo u operaciones
  • analisis estatico de código
  • owasp top ten
  • definir e implementar algún procedimiento de control sobre algun asset de información
  • repositorio de codigo
  • información contractual de proyectos
  • dictar algún tipo de training interno
  • securizar la comunicación con algún cliente

Y ademas, crosscutting agile,
  • sub dividir y estimar la tarea elegida.
  • retrospectiva de la actividad

Para quienes ya tienen seguridad y carecen de agile podría ser:

  • ver de utilizar kanban en algunas tareas de operaciones
  • estimación de esfuerzo mediante planning poker
  • implementar SDM (Standup Daily Meeting) para seguimiento
  • utilizar tdd, bdd, refactoring en el desarrollo de alguna aplicación, que bien puede ser de seguridad

Si aporta, contaré mi experiencia con escolares. La "gente de educación" se la puede llevar para probar y devolver la retrospectiva en el evento principal.


Una de los objetivos es ver como darle valor a estas tareas y ayudar a identificar cual tarea puede ser la apropiada para cada asistente, que tenga costo reducido o algún retorno que compense.

Este evento será de asistencia acotada, tipo veinte personas en un lugar pequeño.

De este modo, el agile open de UB se ve enriquecido por las experiencias y retrospectivas nacientes de este eventito.

En el medio, armamos una lista de google/yahoo o usamos un tag [seguridad] en la lista de agiles para ayudarnos.

La Previa

El fin de semana largo, la convocatoria más abierta a último momento y la evidente falta de interés en el tema conspiraron contra la asistencia. Contra mis expectativas se respetó la regla de que sólo asiste la mitad de los inscriptos, había pensado que al ser la convocatoria más personalizada la asistencia iba a ser mayor. Tratándose de un número tan bajo, el que tres de los cuatro organizadores por parte Agiles no hayan ido, quizás explica la situación. Hubiésemos llegado a casi dos tercios.

Como facilitador cometí un grave error metodológico durante el evento, que fué no respetar las reglas del Open Space. Como consecuencia, aunque interesante e instructiva, fue una larga conversación medio amorfa.

Uno de los organizadores pudo haber "asistido virtualmente" ya que faltó por estar enfermo y quizás hubiese detectado y corregido la situación, pero aunque él me lo sugirió, se me escapó.

Al final quedamos en hacer algunas tareas,

  1. Robo cuenta hotmail. La idea es abrir dos cuentas con distintos niveles de seguridad y contratar el hackeo.
  2. Revisar el proceso de certificación y/o recuperación de twitter.
  3. Usar w3af contra una conocida institución, tomando los recaudos necesarios.
  4. Confidencialidad en proyectos/empresas

con estos resultados.

  1. Se creó una cuenta pero no se avanzó.
  2. JP hizo un excelente trabajo, que será presentado en el Agile Open por un emisario.
  3. Nada, la semana previa intenté iniciar de modo anónimo la exploración pero no pude, ya que estaba caido el sitio.
  4. Nada


AOS

Otras vez los astros conspiraron en contra. Hubieron problemas logísticos en UB que nos dejaron al borde de postergar otra vez. Afortunadamente Paula A., que no sólo es leal con UB y asumió toda la responsabilidad de las fallas, si no que tambien es una persona de palabra, hizo un sacrificio de último momento y logró que lo hagamos en fecha.

Por el lado de Agiles, los organizadores se esfumaron por distintos motivos personales. Sólo les cuestiono que yo haya tenido que preguntarles, en lugar de ellos avisar proactivamente. De este modo perdimos apoyo institucional y difusión de SADIO e IEEE. Afortunadamente otra vez, Juan G. se hizo un lugarcito y aportó una primera sesión explicando que es agile y open space, además de darle el encendido al evento.

Luego hubieron dos sesiones paralelas de "seguridad vs usabilidad" y "usando git y github" y por último "experiencia de privacidad en internet para escolares".

Los resultados de La Previa, dado que sólo una persona había estado en ambos eventos y respetando la regla "estamos los que estamos", ni fueron mencionados.

Fue un poco más caótico que un Open Space promedio, pero funcionó.

Si alguno de los concurrentes ha elaborado alguna apreciación, que por favor agregue el link en los comentarios.

Resultados


Lo interesante es que había más gente de seguridad que de agile. Quizas no muy sorpresivo, dada la falta de interés general en el tema en las listas de agiles.

Por un impulso impulsivo de último momento y en aparente contravención con mi recomendación en agiles a las "agile girls" de usar un tag para marcarse en lugar de hacer otra lista, propuse cuando ya estabamos en la puerta hacer una lista propia. Lo que pasa es que esa falta de interés puede provocar que las personas de seguridad que lleguen a las listas se disuelvan antes de provocar alguna reacción. Es una suerte de zona protegida, comunicada con las listas, ya que hemos invitado a unirse a las listas, pero donde podemos discutir algunas cosas más específicas. Igual es un tema en marcha, veremos que pasa, si funciona como lista aparte, desaparece o nos mudamos a agiles.

Aprendizajes

Hay que respetar las reglas de Open Space.

No creo que valga la pena repetir La Previa. En relación al Agile Open no veo que haya aportado. Falta ver que ocurre con los participantes y la lista.

Aunque el lugar es muy importante, hay que tener un buen plan B. El evento se atrasó cerca de cuatro meses de su fecha prevista inicial, no tengo manera de saber como eso afectó a la concurrencia, pero sí sé que carga produjo sobre el organizador, que se prometía como cada vez "es la última vez que hago esto".

No hay comentarios:

Publicar un comentario