domingo, 20 de diciembre de 2009

Propósitos 2010.


El final de diciembre es perfecto para elaborar los propósitos del siguiente año. Y aunque uno puede “armar” sus propósitos durante cualquier mes/día del año, seguiré la corriente y les compartiré los míos para el 2010.

Lo primero es que mis propósitos se limitan a 3 en el área profesional. Sinceramente tener los clásicos 10 no es de mi agrado porque invariablemente termino por no seguirlos todos y le doy continuidad únicamente a un par de ellos.

Lo segundo es que mis tres propósitos serán medibles, de otra forma se perderán en la rutina y en el paso de los meses. ¿De qué sirve tener propósitos si uno los retoma cada año porque no pudo cumplirlos?

Leer un libro.

Mi primer propósito es leer un libro cada 3 meses para tener un total de 4 libros leídos completos. Soy de los que agarra un libro y llega a la mitad cuando no me agrada, o aún si es que me gusta me tardo meses y meses en acabarlo. No más.

Tengo varias opciones en el carrito de compras de Amazon y seleccionaré tres: Applied Security Visualization (Raffael Marty); Hacking Exposed: Network Security Secrets and Solutions -6th Edition- (Stuart McClure); Stealing the Network: How to Own the Box (Ryan Russell); The New School of Information Security (Adam Shostack) y The Age of Turbulence: Adventures in a New World (Alan Greenspan). Cada vez que acabe un libro haré una entrada/resumen en mi blog; esto me ayudará a fijarme una meta y cumplirla.

Atender a un Webinar.

Mínimo deseo seleccionar y ver un webinar de seguridad de la información cada dos meses. Este año me llegó notificación de varios webinars y por falta de tiempo o más bien por falta de organización y un sobrante de flojera no los vi. Aunque no todos los webinars valen la pena, un par de ellos sí son interesantes y es importante atenderlos. Al igual que mi primer propósito, haré una entrada en mi blog resumiendo lo más importante del webinar.

Innovar.

Quiero proponer nuevas maneras de hacer algunas tareas en mi trabajo. Tal vez aplique algunas de las ideas de los libros que voy a leer, o tal vez retome algunos de los capítulos de mi libro ThinkerToys (Michael Michalko) para generar ideas innovadoras; puede ser que simplemente me siente un día a pensar en cómo mejorar algo que esté a mi cargo. Al menos cada tres meses deseo proponer alguna cuestión nueva o fuera del molde; claro, otra cosa es que me la acepten (ja).

Esos son mis tres propósitos en el área profesional. ¿Ustedes ya tienen los suyos? ¿Cómo piensan darles seguimiento para asegurase de cumplirlos? ¿En la parte personal, también tienen en mente algo que deseen hacer para el siguiente año? Recuerden que depende de ustedes el hecho de que sus deseos 2010 se hagan realidad, mi esperanza es que tengan la voluntad y el coraje para lograrlos.

domingo, 13 de diciembre de 2009

Pensamientos Aleatorios del Cisco Security Report 2009.


Cisco publicó recientemente su “Cisco 2009 Annual Security Report”. Lo leí y me fueron surgiendo algunas ideas, comentarios y pensamientos que comparto con ustedes.

De Redes Sociales.

La interacción con clientes/proveedores/futuros clientes ya no es únicamente por medio el correo/teléfono, sino usando redes sociales. Varias cuestiones de la "vida" laboral se estarán publicando en dichas redes. La pregunta es: las políticas y políticas de seguridad corporativas incluyen el uso aceptable/seguro de las redes sociales por parte de los empleados? ¿Qué tipo de información puedo postear en Twitter? ¿Es correcto hablar negativamente de la empresa como empleado? ¿Puedo decir en LinkedIn sobre el proyecto en que estoy trabajando? ¿Puedo darle click a una liga que me manda mi amigo de la red social? ¿Bajo qué términos puedo atraer nuevos clientes usando una red social?

Por otro lado, no es nuevo decir que el malware ha encontrado un nuevo canal de distribución en las redes sociales y conforme se usen con mayor frecuencia que el correo en futuros años, es correcto predecir que el spam de correo disminuirá drásticamente para mejor explotar las muy usadas redes sociales?

De los Achicadores de URL.

Las chocantes y enormes ligas siempre han sido un dolor de cabeza (para mí, por lo menos) y ahora con redes como Twitter se hace más necesario que antes el poder "achicar" estas enormes URL. Hasta se antoja usar los servicios en línea como TinyURL o Bit.ly no sólo para redes sociales sino para las ligas internas corporativas. Sin embargo, algunos "creativos" han visto en esto un uso malicioso al esconder sus ligas "www.hacker.com/getVirus.exe" usando estos servicios para que los usuarios (avanzados o no) le den click y se puedan llevar una sorpresa. Aunque siendo honestos y aún viendo la liga frente a nosotros, realmente hace la diferencia en todos los usuarios? ¿http://www.google.analytics.com/ es una liga a la que le daríamos click o no? No es tan evidente, o si?

Del Malware que Gusta del $$$.

El malware bancario/financiero llegó para quedarse. Ya no es una tendencia sino una realidad, el malware está enfocado a robar dinero de cualquiera y de cualquier forma posible. Es posible comprar un toolkit del troyano bancario Zeus por $700.00 USD, creando nuevas versiones de sí mismo en cada compra para evadir a los antivirus. Otro "ganador" en 2009 es todo el software que ostenta ser un antivirus, pero que realmente es código malicioso. Los falsos antivirus han probado ser un éxito entre los usuarios de Internet, cosa que alegra a los maestros de este tipo de programas.

Del Problema de los N Passwords.

Contraseñas para Twitter, FaceBook, Bit.ly, Amazon, Cinemark en línea, Delicious, Digg, EverNote, GMail, Hotmail, YahooMail, Hi5, Telmex en línea, Liverpool en línea, OCC Mundial, iTunes, periódicos en línea y banca en línea. ¡YA NO QUIERO USAR MÁS CONTRASEÑAS PARA CADA SERVICIO EN LÍNEA! Punto. De otro modo la verdad estaré reciclando passwords y usando como máximo tres para todos los servicios en línea que uso. ¿Los “expertos” en seguridad dicen que es mala idea? Lo siento, pero para la gran mayoría de los usuarios es una buena idea dado que es fácil de administrar. Y mientras no haya otra solución, esto sí que será una tendencia 2010, 2011, etc.

De las N Ligas en una Liga.

Entren a una liga legítima de su preferencia. Probablemente este sitio “jale” N ligas de otros sitios mientras uno navega. Entren a www.ElUniversal.com, cuántas ligas jala el sitio que no es de El Universal? Entren a www.thesun.co.uk y pasen el ratón por encima de la página y verán N ligas que no son de TheSun. Ahora me explico por qué páginas legítimas y válidas pueden contener malware al visitarlas: por la cantidad de páginas foráneas que usan.

De la Fórmula de la Inseguridad.

Junten varios (o todos) de estos factores y los llevarán a la inseguridad según Cisco:

+ Contraseñas fáciles de adivinar; y re-uso de contraseñas.

+ Parchado inconsistente/nulo de aplicaciones y S.O.

+ Publicar “demasiada” información personal en línea.

+ Navegar con demasiada confianza (o como se conoce en México: el “a mí no me pasa”).

+ Protección antivirus nula o des-actualizada.

+ Sólo el antivirus es necesario para tener seguridad (sí, claro).


domingo, 6 de diciembre de 2009

Anda, Compra en Línea.


Estamos a unas semanas de que sea Navidad y entre nuestros regalos bien podemos tener en la mira uno que otro artículo para ser adquirido en línea. El comercio electrónico presenta una alternativa para hacer el “shopping”, sólo se requiere seguir algunos pasos para hacerlo de la manera más segura posible. He aquí siete sugerencias.

1 Usa un Live CD de Linux para tus compras. Si ya había recomendado usar un disco “vivo” de inicio basado en Ubuntu para banca en línea, sigo en la misma línea al sugerir comprar en línea usando un sistema operativo limpio, lo más alejado posible del malware orientado a Windows. Quema tu disco, inicia con él, compra en tu lugar favorito, saca el disco, y todo esto sin instalar nada. Si no es viable esta opción, al menos asegúrate de tener un antivirus actualizado (no olvides escanear todo tu disco semanalmente) y firewall personal activado en tu Windows.

2 Aprovecha lo que te da SSL. El protocolo SSL (actualmente deberíamos llamarle ya TLS) conlleva dos características importantes al ser usado por un sitio de comercio electrónico y por nuestro navegador:

+ Túnel cifrado. Nuestro número de tarjeta de crédito se va cifrado al sitio de e-commerce; por cierto, fíjate que esté ya habilitado (https) antes de que vayas a poner los datos y no que se habilite hasta después de que los hayas ingresado y le des “send”.

+ Certificado digital. Verifica que el certificado que muestra el navegador es válido (que pertenece al sitio en donde estás comprando).

3 Lee las condiciones de compra. Aquí no hay muchos tips. Usa tu criterio al igual que lo harías en una tienda del mundo físico. Si las condiciones de entrega, devolución, tiempo de arribo de la mercancía u otra cuestión no te agrada, simplemente no compres ahí. Por cierto, si el sitio no tiene un contacto “normal” (teléfono, dirección física, etc.) a donde pudieras comunicarte, mejor busca otra tienda.

4 Ve al sitio, no dejes que el sitio venga a ti. ¿Te llegó el anuncio de un producto por correo? Piénsalo dos veces antes de comprar ahí (a menos de que ya sea una tienda en línea de tu confianza). Es mejor que tú vayas al sitio o que tú lo hayas seleccionado, y no que el susodicho sitio te haya localizado a ti. Y siempre teclea tú el nombre del sitio, nunca llegues a él por un link.

5 Usa tu tarjeta de crédito. Si te llegaran a hacer un fraude al comprar en línea, al menos estarán afectando el dinero de “alguien más” mientras aclaras las cosas; la de débito es tu dinero tal cual y durante toda la aclaración no tendrás tu dinero disponible. Por cierto, lo mismo vale para pagar en restaurantes (por aquello de la clonación). A ciertas tarjetas les puedes designar un monto máximo abajo del crédito total disponible, usa esta ventaja.

6 Aguas con las ofertas. Una cosa son las ofertas y otra las ofertas increíbles. ¿Muy bueno para ser verdad? ¿Es el último día de oferta y te dicen que tienes que comprar a la de “ya” porque se va? ¿Es muy barato porque viene de Europa del Este o de cierto país de Asia que no puedo recordar? Piénsalo dos veces antes de aprovechar esa gran, gran oferta regalada.

7 Googléalo. Investiga rápidamente sobre el sitio en Internet. ¿Hay usuarios quejándose? ¿Hay malas referencias? Evalúa los resultados y decide.

Ya para terminar, estas sugerencias no son las únicas y más acertadas, encontrarás muchas otras en diversos sitios. Yo busqué por las palabras clave “safe online shopping” y encontré varios consejos. Usa las que creas convenientes para tu seguridad.