martes, 30 de junio de 2009

Dos detalles de la seguridad y las laptops.

Leyendo el otro a @schneier, comentó dos cuestiones relacionadas al resguardo de la información contenida en las laptops/netbooks que hasta el momento no había pensado como posibles riesgos; de hecho se aplican también a teléfonos inteligentes.

La primera situación se refiere a un atacante que nos arrebate la laptop mientras estamos usándola. Aquí le podemos decir  adiós a los controles de cifrado que protegen parte o todo el disco del equipo y a controles biométricos, por ejemplo. El atacante tendrá un equipo sin ningún control de acceso al equipo o a la información ya que el usuario habrá hecho esto previamente, desbloqueando controles de seguridad para poder usar el sistema.

La segunda situación se refiere a que una autoridad como por ejemplo un agente aduanal (u otra autoridad judicial) nos "pida" que mostremos el contenido de nuestro equipo. Aquí tal vez podamos esquivar al agente aduanal aprovechando nuestro conocimiento técnico (podemos tener una partición no visible y cifrada), aunque ya en un proceso judicial con más calma y con agentes que sepan de asuntos técnicos, tal vez signifique que encontrarán cualquier truco y nos "pedirán" que descifremos la información con nuestra llave para acceder al contenido.

Aterrizo mi anterior idea: si por ejemplo vamos a EUA con una laptop que tiene secretos comerciales y los agentes aduanales nos exigen mostrarla y lo hacemos (o uno de nuestros empleados) para no tener problemas, es un riesgo a la seguridad de la información que debemos prever (lo mejor es no llevar esos datos con nosotros y "traerlos" vía Internet).

En fin, sobre todo el primer riesgo de que nos arrebaten la laptop en uso definitivamente no lo había considerado; el segundo riesgo es uno que hay que tener en cuenta sobre todo cuando viajemos a países que legalmente pudieran solicitar el acceso a nuestra información.


lunes, 29 de junio de 2009

Seguridad en las Votaciones Electrónicas.

Compremos nuestro kit de votaciones electrónicas donde como parte del paquete tendremos hardware y software que sustituirán a los votos en papel y a las urnas tal cual las conocemos. ¡Ah! Y claro, vienen incluidas en el kit "algunas" vulnerabilidades que harán de las elecciones un hervidero de posibles "anomalías" y bandos reclamando la veracidad de la elección. De por sí con papeles tenemos quejosos, imaginemos si un porcentaje definitorio de los votos fueran electrónicos.

Desde hace tiempo ya algunos expertos de seguridad han alertado sobre que "las máquinas de votaciones electrónicas representan una grave amenaza para tener elecciones justas y veraces/certeras".

Y no es para menos. Desde el momento mismo que las votaciones recaen en un sistema de cómputo con software, podemos esperar que existan diversas debilidades sobre todo en el software que permitan a atacantes alterar algún resultado de las elecciones con el poder de un click.

En Internet, uno puede encontrar varios sitios como "Accurate Voting" y estudios tipo paper mucho muy completos y serios como "Software Review and Security Analysis of Scytl Remote Voting Software" que precisamente tocan este delicado punto de la seguridad electrónica en las votaciones basadas en software o en votaciones remotas.

No es descabellado pensar que si el software como Adobe Reader, PowerPoint o los propios sistemas operativos (Windows, Linux) tienen debilidades que pueden y son constantemente aprovechadas, también será igual con el software involucrado con sistemas electrónicos de votación.

Y para muestra basta un botón. Recientemente la empresa Sequoia en EUA tuvo que permitir el escrutinio de su equipo de votación electrónica luego de que unos votos fantasma fueron computados para una elección; se percataron de la anomalía porque había más votos que votantes.

Basta una búsqueda en Google de "security electronic voting" para encontrar referencias del tema.

Las elecciones son algo serio, son el medio por el cual las personas expresan su voluntad y desde mi punto de vista no se puede dejar algo tan serio en manos de un sistema de software escasamente probado desde el punto de vista de seguridad o tal vez probado para que sea funcional mas no seguro.

Pienso que no es suficiente comprar la tecnología, instalarla, usarla y decir que es funcional y segura…todo lo anterior sin haber hecho pruebas exhaustivas, públicas, independientes y académicas que confirmen que el sistema es confiable. De otro modo se tendrá que confiar ciegamente en que el sistema de votación hace lo que dicen sus fabricantes y que es imposible atacarlo; en EUA (y otros países) no confiaron y ya han encontrado varios "detalles".

Así es que, aunque las votaciones electrónicas tienen ventajas, también presentan desventajas (y de éstas últimas a casi nadie le gusta hablar). La introducción de software en la arena electoral hace que pensemos dos veces antes de seguir adelante y tener en cuenta que las debilidades del código podrían tambalear una elección si no se tienen la precauciones necesarias.

 

jueves, 25 de junio de 2009

Las tres preguntas de los riesgos.


Reducir los riesgos al máximo posible de una manera costeable y efectiva es una meta de auditores o del área de seguridad de la información en una empresa. ¿Cuáles serían las tres preguntas básicas cuando hablamos de reducción de riesgos? El Dr Eric Cole (@drericcole) planteó estas preguntas y deseo compartirlas con algunos comentarios propios:

 

A).- ¿Cuál es el riesgo que estamos reduciendo?

La primera pregunta básica gira en torno a saber cuál riesgo es el que estamos reduciendo: riesgo de perder la base de datos con información crítica de clientes, riesgo de que caiga una bomba atómica destruyendo datos e instalaciones o riesgo de tener un sistema operativo comercial manejando una operación crítica (planta nuclear)? Cada riesgo tiene su probabilidad de que una amenaza explote la debilidad adecuada y nos perjudique; y el simple hecho de tener claro qué riesgo estamos reduciendo exactamente suena simple pero puede llegar a ser complicado por ejemplo por la cantidad de amenazas y debilidades que debemos de considerar y las muchas que dejaremos fuera.

 

B).- ¿Es de los más prioritarios?

El o los riesgos que identificamos, son los más prioritarios? El de sistemas dirá que no, el auditor dirá que sí, la alta dirección dirá que puede que sí…al final es posible que llegue a ser subjetivo y finalmente nos quedamos con la misma pregunta: es de los más prioritarios? ¿Quién lo dice? ¿Cómo llegó a esa conclusión? ¿Qué metodología usó? Obviamente deseamos empezar a reducir el riesgo o riesgos más prioritarios para el negocio de manera inmediata dejando a otros riesgos menos importantes en la cola de pendientes a corto plazo.

 

C).- Una vez que encontramos la contramedida o control adecuado, es este control el que mejor relación costo-beneficio ofrece para reducir el o los riesgos?

Sí, deseo reducir el riesgo, pero no quiero que me salga más caro el caldo que las albóndigas; el control (administrativo, tecnológico, etc.) debe de tener un costo adecuado y en proporción al beneficio que dará. ¿Comprar e instalar una costosa red de almacenamiento SAN para dar continuidad al servicio de correo, es la mejor solución? ¿Bajar de Internet un antivirus gratuito para que proteja el servidor con la base de datos SQL corporativa es adecuado? No quiero gastar una fortuna para proteger algo que no vale la pena y viceversa.

 

Son tres preguntas básicas y claro, no se pretende reducir el enorme trabajo que se debe de hacer para reducir riesgos; en la realidad sé de primera mano que decirlo es una cosa…hacerlo es otra muy diferente.


sábado, 20 de junio de 2009

Parchado: democracia o dictadura?

¿Deben los fabricantes enviar parches para solucionar problemas de seguridad sin preguntar al usuario o se debe de esperar la autorización para proceder con la descarga? Tal vez sea mejor como sucede (¿sucede?) en el ambiente corporativo y no preguntar, sino enviar.

Empecemos por las corporaciones; en las empresas, debe de existir un método de parchado automático que actualice las diferentes aplicaciones. No es tarea fácil andar tras el último parche de las "n" que están en producción, hacer pruebas y enviar los parches…inclusive algunas veces se opta por actualizar las más importantes o de uso frecuente ante la abrumadora tarea de estar cazando parches, haciendo pruebas y aplicándolos en todas las máquinas de los usuarios.

Pero no nos desviemos del tema, el punto es que en el ambiente corporativo por lo general en donde existe un ambiente controlado y centralizado de envío de parches, es muy probable que éstos se instalen en los equipos sin previa autorización del usuario; tal vez un mensaje que simplemente informe del suceso.

Sin embargo, para los usuarios finales "caseros", lo cierto es que es una lata estar parchando, sin mencionar la tarea de estar al pendiente de los parches…seamos realistas, para el promedio de los usuarios simplemente es una tarea que no la llevan a cabo. Y tienen razón: cómo quieren los fabricantes de software que uno esté al pendiente de cuando salen parches para cada una de las aplicaciones instaladas? Perdón, pero todavía de que aceptamos software defectuoso, también es necesario seguirle la pista a cuanto parche de nuestras aplicaciones se publica?

Ante la anterior interrogante, se ha superado la discusión de si el mismo software debe de estar al pendiente de actualizaciones de manera automática (esto está más que claro que ya debe de ser parte de la funcionalidad de nuestro software, o al menos así debería de serlo si es un fabricante serio), pero ahora la discusión gira en torno a si se le debe de preguntar al usuario o no, ya que muchas veces el usuario pospondrá indefinidamente la actualización ya que (en efecto) es una molestia ocupar ancho de banda, esperar a que baje el parche, aguardar durante alentamiento de la máquina y esperar (no pocas veces) el re-boot.

Por ejemplo, un estudio de Google arrojó que los navegadores que esperan autorización del usuario para descargar updates, mantienen un porcentaje de desactualización elevado, mientras que el navegador que aplica parches de manera silenciosa (Chrome), tiene un porcentaje de desactualización bajo; es decir, es mejor aplicar sin preguntar (dictadura) que esperar que el usuario esté de buen humor para autorizar la actualización (democracia).

Así es que la pregunta está en el aire: se deja al usuario el poder de decisión o asumimos de antemano que hará una mala decisión y mejor lo hacemos por él? Espero que no sea el caso, pero la misma pregunta podría aplicarse en algunas corporaciones donde en mi opinión es preferible la dictadura de parchado.

¿El software que mantiene en casa se actualiza? ¿Lo hace automáticamente o no está seguro? ¿Qué preferiría: democracia o dictadura? Yo prefiero dictadura, siempre y cuando no haya re-boots forzosos y que existan puntos de restauración previos.

domingo, 14 de junio de 2009

Blog Corporativo Interno Exitoso.

Me han preguntado qué elementos pueden hacer exitoso a un blog corporativo interno, es decir, aquél que es privado para los empleados y que se abre dentro de la empresa en el web de la organización.  A continuación algunas ideas.

Blog es blog.- necesitamos entender lo que es un blog y para eso hay varias definiciones en la red y millones de ejemplos. Ahora vamos a decir lo que no es un blog: un blog no es un foro de anuncios o un foro de discusión con un solo tema. En efecto, un blog está "vivo", tiene entradas frecuentes, se puede comentar en él, hay opiniones y diversos temas que dan pie a la discusión y opiniones; eso es lo que debe de ser un blog corporativo interno ya que de otra manera, como dijimos, se puede convertir en un tipo de foro, no en un blog.

Propósito.- debemos tener claro cuál es el propósito del blog corporativo interno. ¿Es tener ideas para un nuevo producto? ¿Recibir inquietudes sobre un tema en particular? ¿Recopilar temas para pláticas que deseen recibir los empleados? Inclusive, tal vez valga la pena escribir el propósito en la descripción del blog.

Utilidad.- además de cumplir con el propósito corporativo previamente establecido, se debe de dar a los empleados de vez en cuando algún tip útil para su trabajo dentro de la organización o por qué no, para su tiempo fuera de la empresa. Por ejemplo, se les pueden hacer recomendaciones a los empleados de algunos antivirus gratuitos a instalar en sus computadoras personales, exponer sugerencias de cómo hacer presentaciones efectivas, recomendaciones de seguridad para los pequeños en casa mientras navegan Internet o anunciar que habrá un curso de motivación interno en los próximos días. Si además del propósito originalmente planteado, ofrecemos al empleado contenido que considere de utilidad (consejos, etc.), aseguraremos su interés por el blog corporativo de manera permanente.

Comentarios anónimos.- un blog es interactivo y parte fundamental es contar con comentarios de los empleados sin lugar a duda. Sin embargo, debemos de permitir que opcionalmente se dejen comentarios anónimos; los empleados se pueden sentir señalados e intimidados de dejar su comentario con nombre y clave de empleado, será mejor dejarlos libres de opinar lo que deseen pensando en que un moderador podrá eliminar opiniones ofensivas; otra técnica que puede usarse es advertir cuando se deja un comentario que a pesar de que las opiniones serán anónimas, ante el abuso se podrá rastrear al que se esté pasando de listo. Hablando de comentarios, sobra decir que las opiniones de los empleados son importantísimas, por lo cual deberemos de cuidar que las entradas inviten a dejar comentarios, a crear discusión; tal vez por ejemplo dejando una pregunta al final de la entrada se dé pie a la participación.

Automatizar respuestas a comentarios/preguntas.- un empleado que haga un comentario en una entrada del blog corporativo debe de poder tener la opción de recibir en su correo (por ejemplo) automáticamente las respuestas a su comentario. Resultará frustrante tener que visitar la página constantemente para saber si existen respuestas a un comentario o pregunta.

Respuestas .- a) Si un empleado hace una pregunta o comentario a los creadores/responsables del blog, siempre se debe de responder, de lo contrario parecerá que se ignoran las opiniones; b) No responder con agresividad es otra sugerencia para mantener un nivel de respeto dentro del blog.

Frecuencia de entradas.- no hay una ley sobre la frecuencia de las entradas en el blog corporativo interno; una vez al mes puede ser mucho muy poco y seis veces al día exagerado; hay que encontrar un punto medio (¿tal vez dos a la semana?).

Longitud de entradas.- claridad y simplicidad son la regla; por otro lado, lecturas que duren más de cinco minutos están prohibidas; las entradas en el blog se deben de leer en aproximadamente 3 minutos.

Suscripción al blog.- se debe de tener un mecanismo para estar recibiendo las entradas del blog (como lo es el RSS); tener que visitar la página web constantemente y cada vez que deseemos leer lo más nuevo derivará en que se visitará la página web un par de veces (si bien nos va) y los empleados ya no irán más al sitio. Sin un mecanismo como RSS para que los empleados puedan suscribirse a las actualizaciones del blog, tengamos por seguro que el blog morirá o no tendrá la fuerza y resultados que habíamos esperado.

Aprendizaje.- la participación de los empleados en el blog se da a través de comentarios, preguntas o sugerencias; dichas sugerencias y opiniones se deben de analizar para ver qué ideas o recomendaciones son adecuadas para poderlas llevar a cabo. Si se ignora la participación de los empleados en el blog, tal vez deberíamos preguntarnos para qué publicamos un blog en un principio (en este caso tal vez lo que debimos haber publicado es una simple página de noticias o de anuncios).

Ortografía.- sobra decir que la ortografía de las entradas del blog es crucial.

Imágenes.- en Internet, los blogs se complementan con imágenes ya que visualmente resultan atractivas (por ejemplo, el blog Alt1040 casi no publica entradas sin su respectiva imagen). Por lo tanto, debemos de hacer atractivo el blog corporativo y darle ese toque visual con alguna imagen relacionada a la entrada del blog.

Buscador Interno.- si el blog se vuelve considerablemente grande, se agradecerá un buscador interno para que el empleado pueda buscar algún tema o entrada en particular.

Apoyo de web 2.0.- ¿Vale la pena complementar el blog con páginas de Internet del llamado web 2.0? Tal vez desarrollamos el blog en la página web interna, pero es posible complementar dicho blog con sitios externos como Twitter, FaceBook, LinkedIn o Hi5? Podríamos evaluar la posibilidad de crear una página privada en Hi5 donde sólo los empleados puedan tener acceso, o un grupo privado en LinkedIn, así como una cuenta de Twitter para ser seguida por los empleados. Sobre todo los empleados de recién ingreso y corta edad apreciarán participar en páginas del web 2.0.

Estilo.- aunque el contenido es rey, tal vez deberemos evaluar proyectar un blog con una interfaz fresca y atractiva, tal vez lejos del aburrido diseño "corporativo".

Títulos atractivos.- al menos en Internet, el título del blog y tal vez las siguientes dos o tres líneas definirán si el lector se queda o se va. Probablemente suceda lo mismo en el blog corporativo interno, por lo que deberemos de cuidar el "atractivo" del título para atraer a los visitantes a leer la entrada completa. Un título se puede leer en 3 ó 4 segundos, es lo que tenemos para atraer o ahuyentar al lector.

De tú.- no es regla, pero tal vez si nos dirigimos al lector en segunda persona resulte atractivo para el lector; "Tú eres quien nos puede ayudar para …", "¿Tú qué harías?", "Cuando tú participas haces que…", "La clave eres tú…".


sábado, 13 de junio de 2009

Comparto artículo: "10 Things You Didn't Know About Cyberwarfare"

Navegando en Internet, me encontré este artículo del sitio CIO.COM que me pareció interesante para compartir. Anexo un resumen y la liga, pero vale la pena leerlo completo.

http://tinyurl.com/n2xmpa

10 Things You Didn't Know About Cyberwarfare

1. You need to win the first battle.
2. The first battle could be over in nanoseconds.
3. Cyberwarfare may involve subtle, targeted attacks rather than brute force.
4. The enemy's goal may be to cause chaos rather than destruction.
5. Data manipulation -- rather than data theft or destruction -- is a serious threat.
6. Private networks will be targets.
7. When private sector networks are hit, the Defense Department will assume control.
8. Private networks might be used to launch a cyberattack.
9. Don't ignore the insider threat.
10. Cyberwarfare is warfare.

El uso empresarial de Twitter.

Sabemos que Twitter, el sitio de micro-blogging, fue creado inicialmente para que las personas contestaran la pregunta de "¿Qué estás haciendo?". Pero hoy en día las empresas también usan Twitter para promocionar sus productos y/o servicios, alejándose en principio del propósito inicial que tuvo Twitter. ¿Cómo deben de usar Twitter? ¿Cuál es el uso correcto o adecuado cuando una empresa usa Twitter para atraer y conservar a potenciales clientes? Algunos tips:

+ Twitter es un recopilador.- La primera regla es que una empresa que usa Twitter no debe de tener como único propósito anunciar sus servicios y/ o productos, sino que debe de seguir a cada uno de esos potenciales clientes para saber más de sus intereses, sus necesidades  y hábitos. En pocas palabras, las empresas siguen a personas para conocer más de lo que la gente anda haciendo, tener un "feeling" de lo que comentan, a qué lugares les gusta ir, el tema de sus conversaciones, etc. En pocas palabras, la regla es seguir a cuanto individuo (sobre todo de su región/país) se pueda. Piensen en un partido político que sigue a miles de personas: tendría un conocimiento de primer orden y directo de lo que su electorado piensa de ellos y de los contrincantes, qué están haciendo bien y qué mal. Y claro, corregir el rumbo si es necesario. Piensen en un restaurante o una tienda departamental. No hay nada como saber lo que piensan los clientes de la organización. Debes, más que nada, recopilar información de esos cientos o miles de personas a quienes la empresa sigue.

+ La cuenta empresarial no es individual.- Si una empresa usa Twitter, no significa que una persona abre la cuenta y empieza a promover servicios y productos  y que también por otro lado escribe vivencias personales o mantiene conversaciones con sus "cuates". Cuando una empresa abre una cuenta, es una cuenta e-m-p-r-e-s-a-r-i-a-l, por lo tanto olvídense de de que esa cuenta publique que se le perdieron los calcetines por la mañana, que se va a ir a comer, o simplemente el típico "hola-adiós". La cuenta de Twitter empresarial debe reflejar precisamente que es una cuenta de una organización y no la de una persona.

+ Frecuencia adecuada.- Si la cuenta que abre una empresa en Twitter empieza a mandar publicaciones cada 10 ó 15 minutos de sus "maravillosos productos", simplemente la gente dejará de seguirla. Básicamente porque es spam para los usuarios. La única excepción es un canal de noticias, de los llamados "breaking news". Porque hasta un canal de noticias que no sea del tipo de último momento deberá de saber cada cuánto publicará sus entradas. Algo adecuado puede ser una entrada cada hora, en horas hábiles y evitar entradas en la madrugada (de otro modo en la mañana los seguidores tendrán "n" entradas de golpe).

+ Entradas de interés.- "Oferta, oferta, oferta"; "compra, compra, compra". Si las publicaciones se centran únicamente en vender, vender y vender, dejaré de seguirlos. ¿Por qué me interesaría recibir ese tipo de noticias única y constantemente? Se debe de introducir sutilmente la compra entre otras entradas "interesantes". Por ejemplo, los comerciales de un súper en sus anuncios incluyen un consejo de belleza, de salud o de higiene y luego promocionan sus productos. Otro ejemplo, una farmacia enviaría entradas diciendo que fumar es un riesgo de salud porque ocurren "x" muertes al año y ellos venden un producto que ayuda a dejar de fumar. Para anunciar un producto "light", se deben incluir consejos orientados a bajar de peso o motivacionales, junto con dietas recomendadas. Si sólo se mandan ofertas y mensajes de "ven y compra, no te lo puedes perder", habrá pocos seguidores porque no les resultará interesante. La gente que sigue a empresas debe de obtener un valor agregado, algo que valga la pena seguir. ¿Qué le dará la empresa a los seguidores que resulte atractivo? La información, a final de cuentas, debe de ser relevante, me debe de interesar seguir el Tweet de una empresa u organización.

+ Respaldo con un sitio.- Twitter es un micro-blogging, pero si la gente desea saber más de una oferta, un producto o un servicio, debe de poder ir al sitio web donde encontrará más información. El sitio web bien armado, ordenado y con la información deseada que se encuentra fácil es una necesidad.

+ Respuesta a los seguidores.- Un seguidor del Tweet de una empresa hace una pregunta o manda una queja. Es importantísimo contestarle. Importantísimo. Lo que sea, pero no se puede guardar silencio, ignorando preguntas, quejas, sugerencias o hasta reconocimientos. Dejen de contestar, y los dejarán de seguir.  Por cierto, aunque contesten pero si no toman en cuenta las quejas o sugerencias, pierde sentido tener la cuenta de Twitter.

+ Primicias.- Resulta atractivo usar Tweet para alguna primicia de la empresa/organización. Un nuevo producto que es anunciado primero por Twitter;  una oferta que es lanzada únicamente por ese medio; una venta especial tal vez; un aviso para un evento en una de las sucursales de la empresa.

+ Retroalimentación usando Twitter.- "¿Qué cambio te gustaría ver en este producto, cómo mejorarlo?", "Concursa en la elaboración de una nueva hamburguesa y de ganar, llevará tu nombre". "A los que fueron ayer al evento, qué les pareció?"

+ TwitPic.- Si es posible que los usuarios reciban tweets con ligas a fotos, por qué no usarlo? ¿Una nueva sucursal? Fotos. ¿Un evento? Fotos. ¿Clientes usando el producto o servicio? Fotos. ¿Una alberca que tanto se antoja durante esta hora tan soleada? Fotos.

+ Ayuda.- Obras de caridad, conciertos de beneficencia o colectas para los pobres son eventos ajenos a nuestra empresa/organización. Sin embargo, bien puede valer la pena darles publicidad a pesar de que no tengan liga alguna a nuestra organización. La gente apreciará que hay interés por algo más que sólo vender, vender y vender más.


jueves, 11 de junio de 2009

Subirse a la nube...o quedarse en la tierra.

El tema de hoy es el llamado "cloud computing" o cómputo en la nube; es el concepto de novedad (aunque en realidad no lo es) que pareciera todos quieren ofrecer como servicio y que por otro lado muchos están tentados a usar. Ni hablar de las PyME, a las cuales les puede parecer una oferta atractiva y suficientemente confiable…y la es?

 

En primera, el concepto de la "nube" desde mi punto de vista no es algo nuevo, es lo que se tenía allá por los años sesenta con el cómputo de tiempo compartido o lo que después vino que fueron las terminales tontas. La idea era la misma de la nube: hay un lugar por ahí perdido en algún centro (o centros) de cómputo donde se almacenan los datos y aplicaciones; las terminales tontas con poca capacidad y desempeño realmente son esclavas de un maestro mayor y tienen lo básico para operar; la "galleta" está en otra parte.

 

Ahora nos vienen a decir que subamos nuestros datos en la nube, y que nos olvidemos de las costosas licencias de las aplicaciones y del costo de mantener los datos. Para una PyME, se podría pensar en tener GMail, totalmente gratuito, con revisión de antivirus y controles antispam. ¿La hoja de cálculo cuyas tablas contienen los datos de los clientes? En Google Docs. ¿La propuesta económica que se va a presentar en la licitación? Está arriba en la nube.

 

Pienso que la decisión de subir a la nube o quedarse “en tierra” es finalmente una cuestión de confianza principalmente. Por años y durante la era de la computadora personal, hemos confiado en los fabricantes de sistemas operativos, de aplicaciones y de hardware para que no implanten puertas traseras que nos roben información, confiamos en que el software y hardware no actuará deliberadamente contra nosotros…porque no creemos que sus creadores hayan hecho algo mal intencionado. Confiamos en sus decisiones al diseñar y codificar los productos que adquirimos y bueno, las fallas de seguridad confiamos que no se hicieron deliberadamente.

 

¿Subirse a la nube? Debemos confiar en que nuestros datos estarán protegidos allá arriba, que no se perderán, que no se compartirán que no se alterarán y que tendremos acceso a  los datos cuando así lo deseemos. También confiamos en que no nos obligarán a pagar después por los servicios de la nube o si es el caso, que mantendrán sus precios. En el esquema de la PC, debimos confiar en los fabricantes de software/hardware, ahora debemos confiar en los dueños de esa nube.

 

Algunas consideraciones alrededor de la confianza cuando decidimos poner los datos en la nube:

 

+ Confianza en que el dueño de la nube no cerrará de pronto sus puertas porque "quebró". Y que se lleve nuestros datos “entre las patas”.

 

+ Confianza en que el dueño de la nube no venderá el "changarro" a una entidad no deseada por alguna razón como lo pudiera ser que no tenga suficientes recursos económicos para mantener la nube,  porque es nuestro competidor o porque cambiará las políticas/reglas.

 

+ Confianza en que no cobrará por los servicios o que aumentará los precios en un futuro...y que “por supuesto” no nos dirá: pagas o adiós a tus datos.

 

+ Confianza en un nivel de servicio adecuado, que se traduce en la solución a problemas técnicos o de otra índole: ¿Mi contraseña ya no es válida de pronto? ¿No encuentro un archivo que debería de estar ahí? ¿Se cayó el servicio de correo y me urge recibir un dato?

 

+ Confianza en el esquema de seguridad de la nube para que un intruso no le haga hacking y realice una acción maliciosa. El dueño de la nube tiene esquemas de respaldo, de continuidad de negocio y de seguridad perimetral, cierto?

 

+ Confianza en que los empleados que administran la nube serán éticos en el uso de los datos que ahí se manejan (independientemente de las políticas de la empresa que bien un empleado puede decidir ignorar). ¿Un famoso que intercambia correos con una amante puede ser chantajeado por un empleado de la nube que tiene acceso a todos sus correos?

 

Finalmente, algunos de los riesgos de la nube se pueden ver también a cierta escala en “la tierra”: un administrador del servidor de correo tiene acceso a todos los correos; una empresa puede fallar en sus esquemas de seguridad; y sobre todo dejando de lado los riesgos, hablemos del costo de usar la nube que bien puede disminuir de manera importante si se compara con tener una infraestructura propia.

 

¿Mi opinión? No usar la nube para cuestiones empresariales y sí para cuestiones más "mundanas" o sin demasiada importancia (me enojaría que inhabilitaran mi cuenta personal de GMail, pero no me quitaría el sueño). Es mucha la confianza que se debe de depositar en un tercero y básicamente se debe esperar que pase lo mejor. Simplemente pensemos: el servicio de soporte del dueño de la nube será el adecuado cuando sabemos tiene a cientos o miles de clientes? ¿Y si el servicio de la nube es gratuito, tendremos derecho a quejarnos y atenderán nuestras insatisfacciones? Sin embargo, usar o no la nube tiene sus pros y contras, y la pregunta es: en qué esquema confiamos más? No hay una respuesta correcta e incorrecta, pero si apostamos al caballo perdedor, estaremos en problemas. ¿Por cuál esquema apuesta usted?

 

miércoles, 10 de junio de 2009

Modo XP en W7: será seguro?

Se sabe que la versión final de Windows  7 será capaz de emular XP para ejecutar ciertas aplicaciones que así lo requieran. Es decir, hay un modo XP dentro de Windows 7 por si una aplicación de plano no funciona con W7. ¿Estará ese modo XP debidamente encapsulado o por ejemplo se podrán explotar debilidades en XP para afectar a W7?

 

La respuesta rápida es que aún es temprano para saberlo ya que se requieren más detalles del fabricante y uno que otro análisis. Sin embargo, no sería sorpresa que este modo XP tuviera acceso total o casi total a la información dentro de W7 (privilegiando así funcionalidad sobre seguridad), pudiendo potencialmente explotar una debilidad en XP y “saltar” hacia el sistema anfitrión W7.

 

Por ejemplo, cuando se ejecuta una máquina virtual con algunos productos que están en el mercado, ésta se crea de manera encapsulada, o en inglés “sandboxed”. Esto impide precisamente que lo que afecta a la máquina virtual pueda por ejemplo impactar al sistema operativo anfitrión. En un encapsulamiento eficiente, la máquina virtual no debería de poder afectar/dañar/interferir en el funcionamiento (seguridad) de la máquina anfitriona.

 

Puede ser que al final no quede suficientemente clara la manera de operar de este modo XP y que inclusive debamos esperar un paper que haga pruebas “en la vida real” para verificar la seguridad del modo XP en W7.  Es importante estar atentos a esta situación y que cuando por fin nos decidamos a instalar W7 en los equipos, tengamos en cuenta este hecho para decidir cuál será nuestra “relación” con la emulación de XP; no queremos que nos resuelva problemas de compatibilidad y que por otro lado abra huecos de seguridad.

 

lunes, 1 de junio de 2009

Evaluación de Seguridad entregada a Obama

La semana pasada se dio a conocer el documento llamado "Cyberspace Policy Review", un análisis del estado de la seguridad de la infraestructura informática de los EUA y que fue entregado al Presidente de aquella nación; plantea también el plan de acción a seguir. Al menos en el papel, parece que ahora sí va (más) en serio.

Aunque algunos han criticado el documento por ser muy general, yo pienso que la idea es precisamente que sea general ya que se trata de delinear la estrategia a seguir, es la intención presidencial de preocuparse por la seguridad, o como dijo Obama "our digital infrastructure, the networks and computers we depend on everyday, will be treated as they should be - as a strategic national asset".

El documento se ve bien, y lo que más me gustó son dos cuestiones fundamentales: a).- La seguridad es prioritaria: se le da a la seguridad de la información  el lugar que a mi juicio se merece y es muy, muy importante que un Presidente se dé cuenta de esto, es la alta dirección manifestando su prioritario interés por la infraestructura informática de una nación. No hay nada más reconfortante que saber que los altos mandos entienden la sensibilidad de lo que está en juego, que entienden el valor de la información que se maneja en redes y sistemas. No hay necesidad de convencerlos, ya lo están. B).- En segundo lugar, se manifiesta una necesidad de invertir en investigaciones académicas orientadas a encontrar nuevas tecnologías y metodologías de seguridad; siempre he estado convencido de la gran importancia que tiene el llamado "research", aquel que no es una simple recopilación de datos, sino la que es innovadora y propone nuevos temas en el campo de la seguridad. Será fascinante ver que esto se cumpla y se le dé un empuje a la investigación.

Por otro lado y si es que la intención en papel se traduce en hechos, serán buenos días para las empresas dedicadas a proveer seguridad (imaginen aquellas orientadas a crear código seguro, uno de los principales dolores de cabeza), también se pueden beneficiar los programas académicos que tengan investigación en seguridad y que sepan aprovechar posibles apoyos del gobierno; no olvidemos a personas que tengan grados académicos de seguridad, aptitudes en esta área, certificaciones y/o experiencia en el ramo. Ojalá y en este punto también se busquen a empresas del sector privado líderes en su ramo y no a los contratistas militares de siempre.

Finalmente, no deseo ser repetitivo, pero pienso que debemos trasladar lo que sucede en aquella nación a nuestras empresas o entidades de gobierno, sobre todo si se está en una posición de decisión. A ver, allá el Presidente Obama está preocupado por la seguridad de la información, ha mandado hacer un análisis y ha apoyado públicamente la estrategia a seguir. ¿Qué está pasando en nuestras propias trincheras? ¿Se sigue pensando en la seguridad como un gasto y no como una inversión? ¿Seguridad como estorbo y entorpecedor más que un habilitador? ¿Estamos esperando (como allá en EUA) que primero pase un incidente mayor (o varios) para que después venga por fin una entidad superior a marcar el rumbo? En fin, son sólo algunos pensamientos aleatorios a ver si sacudo algún "bit".  


Punto y a parte, enlisto los puntos que me parecieron importantes del documento en cuestión:

+ Reconoce la importancia de las tecnologías de información en la vida de la nación , empresas e individuos.

+ Se reconoce que la infraestructura digital de los EUA no es tan segura.

+ Reconocen que ya se tienen pérdidas económicas debido a crímenes en la red y también se establece el hecho de que ya se ha perdido información militar.

+ El gobierno de los EUA no está bien organizado para enfrentar estas amenazas.

+ Se deben de desarrollar políticas, procesos e integrar personas y tecnologías para mitigar los riesgos.

+ Cooperación pública y privada: la infraestructura depende de ambos; no se entiende el apoyo a la seguridad gubernamental sin el apoyo al sector privado; ambos deben de jalar parejo .

+ Diálogo nacional para concientizar al público en general sobre estas amenazas.

+ Apoyo a la investigación para crear nuevas tecnologías y enfrentar mejor la falta de seguridad en las infraestructuras.