Te comparto mi artículo que publicó ComputerWorld México. Trata sobre los eslabones más débiles en la seguridad.
Muchos dicen que no puede haber eslabones débiles porque colapsan toda la cadena.
Yo digo que siempre habrá eslabones débiles y que hay que estar preparados para vivir con ellos.
http://www.computerworldmexico.mx/Articulos/30775.htm
martes, 12 de noviembre de 2013
miércoles, 6 de noviembre de 2013
Seguridad informática para la seguridad física
TechTarget publicó un artículo mío llamado "Seguridad informática para la seguridad física". Se los recomiendo.
http://searchdatacenter.techtarget.com/es/opinion/Seguridad-informatica-para-la-seguridad-fisica
http://searchdatacenter.techtarget.com/es/opinion/Seguridad-informatica-para-la-seguridad-fisica
domingo, 3 de noviembre de 2013
Espionaje
Desde hace meses estamos escuchando noticias del
espionaje que hacen principalmente agencias de Estados Unidos (EUA). Lo dirigen
contra gobiernos e individuos extranjeros. Aunque también incluye a ciudadanos
de ese mismo país.
Edward Snowden es quien está filtrando la información de los
esfuerzos de espionaje norteamericano y al parecer lo seguirá haciendo. Es
importante mencionar que varias de sus afirmaciones fueron rechazadas por el
gobierno de los EUA.
A pesar de las negaciones de aquel país, la sospecha de
espionaje fue sembrada y es frecuente escuchar inconformidades de gobiernos,
entre ellos el de México. También hay voces de ciudadanos norteamericanos que
están alarmados por esta situación. Desean que cese este espionaje o al menos
que se revise y regule.
¿Cómo debe actuar una organización mexicana ante este
espionaje? En mi opinión, es importante asumir que estas prácticas están
ejecutándose. Por lo tanto es necesario cambiar nuestro modelo de amenaza e
incluir a este tipo de actores amenazantes.
A continuación pongo sobre la mesa
una serie de posibles medidas a implementar en una organización
en caso de que no estén actualmente en marcha. O en dado caso fortalecerlas.
Almacenamiento en la nube. Es
importante saber que los datos enviados a la nube están fuera de nuestro
control. Existen diversos servicios en línea que prometen almacenamiento
gratuito. O al menos a un bajo costo si se tratan de volúmenes muy altos de
información y que probablemente sean servicios orientados a empresas. Es cómodo
enviar archivos a esa nube para respaldar. O bien para tener un dato “en todo
momento” usando un teléfono inteligente o un navegador con Internet.
Sin
embargo el dueño de la nube tiene el control de esos datos y los puede acceder
en todo momento. Hay algunos proveedores de nube que dicen proteger la
privacidad de nuestros datos.
Pero si se enfrentan a una requisición legal,
deberán entregarlos a la autoridad de su país. Inclusive hay información que
sugiere que el espionaje sucede al momento de que los datos viajan entre los
centros de cómputo de grandes compañías de Internet.
Esto debido a que en un
esfuerzo por tener alta disponibilidad de los datos, estas empresas los envían
a otras ciudades o países. Y es ahí donde algunas agencias gubernamentales
interceptan la información en tránsito.
Solución a la inseguridad del almacenamiento en la nube.
Es importante que la solución de almacenamiento en la nube que seleccionemos
tenga PIE. Significa Pre Internet
Encryption. Es un concepto que significa que los datos se cifran y protegen
antes de ser enviados a la nube. El
control de los datos lo tiene uno, no los dueños de la nube.
Correo
gratuito en la nube. Todos usamos servicios de correo
electrónico en la nube. Es conveniente y sin costo. Podemos tener acceso a él
en una computadora con Internet o desde nuestros teléfonos inteligentes. Sin
embargo es importante mencionar que el envío de correo tiene protecciones
limitadas.
Cuando uno envía correos usando un navegador se habilita el
protocolo llamado SSL. Éste protege al email en tránsito entre nuestro equipo y
el proveedor del correo gratuito. Una vez que este correo llega a Google o
Hotmail, si el correo sale de ahí, irá desprotegido.
Los protocolos para enviar
y recibir correos no tienen seguridad por sí sola. Nacieron sin protección. Es
necesario agregarle seguridad.
Solución a
la inseguridad del correo gratuito en la nube. La
recomendación es usar el correo en la nube para cuestiones triviales. No
utilizarlo para transmitir datos importantes. Pero hay ocasiones en que es
conveniente usarlo en casos donde hay datos críticos en juego.
Pues bien, se
puede usar cifrando y protegiendo el mensaje. Productos como OpenPGP dan esta
protección gratuitamente. WinZip, el programa para reducir el tamaño de
archivos, también tiene la funcionalidad de cifrar los datos que son
compactados.
Y claro, existen una diversidad de productos comerciales y
empresariales que apoyan en esta labor de proteger correos electrónicos.
Navegación
en páginas de Internet. Cuando uno navega por páginas de
Internet no es de forma anónima. Si navegamos desde casa, el proveedor de
nuestro Internet sabe a dónde vamos. Si navegamos desde la empresa, nuestros
administradores de sistemas y el proveedor de Internet de la empresa saben las
páginas que visitamos.
Basta hacer unos clicks
por aquí y por allá para saber quién visitó que página y el día y hora que lo
hizo. Se pueden hacer estadísticas. Obtener tendencias por individuo, empresa o
país. La privacidad en la navegación es inexistente.
Solución a
la falta de privacidad al navegar Internet. Existe un
producto llamado Tor. Es gratuito. Lo instalamos y navegamos de forma anónima. Existirán
algunas ocasiones en que justificadamente necesitemos visitar una página de
manera oculta. Tor puede ser una solución.
Uso de
redes sociales. Los datos, videos, fotos y comentarios que ponen los
usuarios y empresas en redes sociales no son privados. Algunos de estos
servicios ofrecen en sus configuraciones opciones para “mantener la
privacidad”.
Efectivamente existe privacidad contra usuarios de la red social que
no son nuestros amigos y los que ni siquiera pertenecen a dicha red social.
Pero no hay nada oculto para el dueño y los que administran a esa red social.
Tomemos a Facebook como ejemplo. Los que administran este servicio tienen
acceso total a lo que ahí colgamos.
Las fotos que tenemos. Los amigos a quien
contactamos. Lo que chateamos con nuestras amistades. De hecho este tipo de
empresas usan motores automáticos dentro de la red social para “entendernos” y
dirigirnos publicidad. Supongamos
que pongo un comentario de “Estoy leyendo el libro de El Evangelio Según
Jesucristo de José Saramago y me encanta”. Facebook sabrá que me interesan los
libros y en especial de este autor. Me mostrará publicidad de librerías en México
que le pagan para ponérmela. Me sugerirá otros libros de este autor.
Si un
amigo mío le da “like” a mi
comentario, probablemente también a él le llegará una publicidad similar. Es
como generan dinero estas empresas. No hay nada gratuito. En fin, estas
empresas están ubicadas obviamente en un país. El gobierno de ese país puede
tener peticiones legales para acceder a los datos de un usuario. Y los van a
entregar.
O bien, un gobierno puede intervenir la comunicación de esa empresa (como
ya dijimos) al momento de respaldar datos entre centros de cómputo que están ubicados
en diferentes regiones geográficas. Y de esta manera interceptan todo de todos.
Solución a
la falta de privacidad en redes sociales. No existe
una solución real. La naturaleza de las redes sociales es compartir
comentarios, videos y fotos. Una solución es pensar dos veces lo que vamos a subir
a estas redes. No usarlas para cuestiones empresariales sensibles.
Y
simplemente tener en cuenta que lo que ahí ponemos realmente no es privado. Por otro lado, dejar de pensar que
únicamente uno y sus amigos pueden ver esa información.
Conclusión.
Llego a escuchar que “El que nada teme, nada tiene que esconder”.
Inmediatamente les pido a estas personas que suban en un sitio público de
Internet todos los archivos que tiene su empresa. Todos.
Para que cualquiera en
el mundo los lea. Se quedan pensando y les parece inadecuado. Entonces la
cuestión es que el que nada teme, nada tiene que esconder de quien confía (en
todo caso).
El tema no es una macabra práctica de esconder datos, sino ejercer
el derecho que tenemos a la privacidad de nuestra información.
Suscribirse a:
Entradas (Atom)