AVISO: Nos hemos integrado con Facebook y Twitter. Ahora, podrás decir si te gusta o no uno de nuestros artículos con tu usuario de la red social. También podrás difundir los artículos que más te gusten a través de cualquier medio. Ayúdanos a que los artículos sean más interesantes dándonos tu opinión. Gracias.

martes, 29 de septiembre de 2009

SGSIs y lo que hay detrás.

Siempre se ha dicho, que no es oro todo lo que reluce, y eso es lo que pasa a veces con la tecnología y también con los SGSI.

Esta semana he estado en unas charlas que se han dado en el ThinkTic y una de las charlas ha comentado el tema de los SGSI y la gestión de la seguridad. La charla en si no ha aportado nada nuevo, siempre y cuando conozcas algo de gestión de la seguridad, pero si ha sido interesante el debate o mesa redonda que se ha producido después. Una de las preguntas que han surgido ha sido, ¿están realmente las Pymes preparadas para implantar un SGSI?
Imagen Propiedad de ISO27001.ES
Es una cuestión que realmente es dificil de responder, pero algunos se aventuran a responder con un rotundo SI. Imagino, que aquellos que lo afirman tan rotundamente son aquellos que creen que lo que hacen es lo más importante del mundo y no hay nada mejor.
Pero, por favor, reflexionemos un poco.

Como profesional del sector, se me hace dificil pensar que una empresa de 7 empleados implemente un SGSI, aunque este sea limitado y adaptado. De hecho, antes que implantar un SGSI, seguramente esta empresa deba pensar en invertir en ciertas infraestructuras mínimas tanto tecnológicas como de seguridad. Digo esto basado en un estudio que se realizó el año pasado entre las Pymes y los comercios de La Rioja, y donde se comprobó que tenían un grado de desarrollo bajo en cuanto a las tareas relacionadas con la seguridad de la información y sistemas que manejaban.

Si el grado de desarrollo es tan bajo, ¿se les debe vender entonces un SGSI?. Yo creo que esto es como vender un coche formula 1 a una persona que quiere el coche solo para ir a por el pan. De hecho, la mayoría de las Pymes que lo implementan y que están suficientemente maduras para hacerlo, no son totalmente conscientes de la inversión (no solo en la implantación) de mantenimiento que requiere un SGSI.

Pongamos la analogía con las adecuaciones a la LOPD. Realmente, es un trabajo relativamente sencillo, tanto para el consultor, como para la empresa que se está adecuando. Sin embargo, cuando se les comenta que alguien de la empresa tiene que saber de que va la LOPD, gestionar las incidencias de acceso a los datos, etc. empiezan a ver que lo que parecía fácil, supone algo más de esfuerzo. En un SGSI, esto se multiplica considerablemente.

Quizás estas situaciones vengan dadas por una excesiva simplificación por parte de los profesionales del sector (aquí también entorno el mea culpa) ante aquellos servicios que nos parecen sencillos. Pero creo que realmente el problema está en aquellos que creen que es mejor vender, que esperar a que realmente el cliente esté preparado para comprar.

En próximos artículos, intentaremos dar una visión general de lo que es un SGSI.

miércoles, 23 de septiembre de 2009

SIMO Networks, el nuevo comienzo.

Esta semana se está celebrando en Madrid la "archiconocida" feria de nuevas tecnologías SIMO. Tras tener que cancelar la feria el año pasado, este año ha vuelto a abrir sus puertas; y como cualquier cosa que se celebra en estas épocas en las que estamos, en crisis.
La feria ha vuelto a sus orígenes celebrándose solo durante 3 días (de martes a jueves) y  enfocandose a los profesionales del sector. Atrás quedan los mega-stanes que en otros tiempos llamaban la atención con esperpénticos espectáculos. Este año podemos calificar al SIMO como austero, y centrado en charlas y divulgación.
En cuanto a novedades, este año se están viendo pocas. Lo más destacado, y empresa principal de la feria, es Windows 7 de Microsoft.
Sin embargo, más allá de actos publicitarios, si me gustaría destacar los elementos por los que el mercado está apostando fuerte:
  • Telefonía IP
  • Pizarras digitales.
A pesar de que en otras ferias como SITILAN hubo más presencia de empresas dedicadas a la telefonía ip (quizás por los costes entre una y otra), este sector del mercado sigue teniendo bastante tirón. Desde la utilización de sistemas de CISCO, D-link, etc. o sistemas más gratuitos como Asterisk, se han dejado ver y promocionar por la feria.
Asimismo, sorprende ver el tirón y empuje que están teniendo en el mercado las pizarras inteligentes. Elementos que a priori parecían estar destinados solamente a las aulas, comienzan a querer dar el salto a las salas de reuniones de las empresas. Todo un nuevo relanzamiento para retroproyectores, lámparas y accesorios.
En resumen, se puede decir que a pesar de la austeridad de este año y de las pocas novedades vistas, SIMO ha vuelto a los orígenes que le hicieron grande. Esperemos que en próximos años, y ya sin la crisis pegada a la chepa de las empresas, podamos ver una buena feria con novedades interesantes.

lunes, 21 de septiembre de 2009

Microsoft no alcanza a sus competidores en Virtualización

La prestigiosa empresa consultora Burton Group a elaborado un informe comparativo sobre las tres soluciones de virtualización más importantes del mercado: VMware's vSphere 4.0, Citrix XenServer 5.5 y Hyper-V R2 de Microsoft.

Según este informe, la solución de Microsoft carece de una serie de funcionalidades básicas en este tipo de soluciones. El informe comparaba funcionalidades que cubrían la granularidad de la configuración, rendimiento de la solución, escalabilidad e integración con los servicios de administración existentes en las empresas.

De las funcionalidades que más se echan en falta en la solución de Microsoft encontramos la falta de tolerancia a fallos, o algunas características en el terreno de seguridad como la integridad de ficheros de configuración o la migración de máquinas virtuales en vivo, entre otras.

Está claro que en el creciente mercado de la virtualización se está librando una lucha que nadie quiere perder. Los entornos virtualizados y su inclusión en la "nube" es una tarta demasiado jugosa como para dar concesiones a los competidores.

A pesar de los beneficios que ofrecen a las empresas la virtualización de sus sistemas, debemos tener en cuenta que también nos añaden nuevos retos en cuanto a su seguridad que muchas veces no son tenidos en cuenta.

El que esté interesado en el estudio lo podrá encontrar aquí: Informe Virtualización de Burton Group.

domingo, 20 de septiembre de 2009

El Paradigma de la Seguridad en la PYME

En la actual situación económica, hablar de coneceptos empresariales que no mejoren los ingresos directos, puede resultar vanal. Conceptos como la seguridad, están muy lejos del actual sentir empresarial. En periodos de recesión, el ahorro de costes y el mantenimiento o aumento de ingresos son las máximas que todos buscamos. Y dentro de estos parámetros, el paradigma de la seguridad de la información no tiene cabida.

Según estudios sectoriales, algunas grandes empresas realizan más inversiones en seguridad cuando hay épocas de crisis que cuando hay una coyuntura económica favorable. La pregunta directa que aparece en mi mente es:

¿Si la inversión en seguridad de la información no está directamente relacionada con un aumento de ingresos, por qué estas empresas invierten más dinero?

Quizás la respuesta que mejor explique esto sea que lo realizan para evitar mayores pérdidas. Como todo el mundo sabe, en una empresa hay tres maneras de aumentar los beneficios:
  1. Aumentando las ventas de productos y servicios.
  2. Disminuyendo los costes asociados a la producción, administración y gestión interna.
  3. Disminuyendo los costes indirectos asociados a perdidas imprevistas (por ejemplo, en un comercio serían los hurtos)
Teniendo en cuenta estos vectores, la inversión en seguridad residiría en el tercer punto. Es una ayuda para reducir y minimizar los costes asociados a perdidas. Pero teniendo esto en cuenta, aparece otra pregunta dificil de contestar:

¿Esta la PYME preparada para afrontar inversiones que disminuyan costes indirectos que no sabe si van a producirse?

Y creo que aquí se depende un poco de la ideosincracia de los negocios. Es decir, hay sectores donde esas perdidas son más evidentes. Por ejemplo, los supermercados y tiendas de caramelos y frutos secos suelen cuantificar un porcentaje de pérdidas mensuales debido a estos costes indirectos. En ese sentido, parece claro que ellos si que deberían estar concienciados en realizar determinado tipo de inversiones. Pero que sucede cuando esas perdidas no son tan evidentes. Que sucede con empresas que a lo mejor disponen de venta a través de Internet, o simplemente disponen de una página web, o quizás de una red wifi en la empresa que les facilita la conexión a su red interna.

Según mi experiencia, estas empresas no inviernten para mejorar la seguridad de sus empresas. De hecho, incluso en épocas de bonanza económica les cuesta realizar este tipo de inversiones. Pero quizás os estéis preguntando, bueno, y este tipo de empresas, ¿qué costes indirectos pueden sufrir si solo tienen una página web?

Imaginense, que sucedería si en la página web de una empresa, por un fallo de seguridad, fuese cambiada por una redirección a la página de la competencia. Imaginense, si en esa página web donde se reciben pedidos de clientes, estos pedidos nunca llegan a la empresa porque simplemente desaparecen del sistema. En estos casos, la perdida de confianza de nuestros clientes presentes o futuros, y el daño a la imagen de la empresa es incuantificable.

Con estos argumentos, debemos concienciarnos en que la inversión en seguridad de la información es tan importante como la inversión en publicidad y marketing.

En futuras entradas, comentaré lo que escuché en un congreso de seguridad sobre lo que denominaba el Santiago Moral (Director de seguridad lógica de BBVA) “El mito de Casandra” en el rol de Responsable de seguridad de una empresa. Quizás, con ese ejemplo, comprenderemos mejor lo difícil que puede llegar a justificar ciertas inversiones de manera interna, y mucho más en el plano comercial.

domingo, 6 de septiembre de 2009

Los hombres usan peores contraseñas que las mujeres.

Bienvenidos al blog sobre seguridad y tecnología de IBERDAT SECURITY. Espero que a lo largo de los distintos artículos que irán apareciendo podamos ir aportando ideas, conceptos y nuevos puntos de vista.
Empecemos hablando sobre la autenticación a través de usuario y contraseña, la más común en el desarrollo de aplicaciones. Recientemiente, según una encuenta de seguridad realizada por PC Tools, las mujeres utilizan mejores contraseñas que los hombres. Según esta misma encuesta el 47 % de los hombres utiliza la misma contraseña en las distintas páginas web que visita, mientras que solo un 26 % de las mujeres lo realizan.
Estos resultados chocan con el porcentaje de hombres y mujeres que son conscientes de los riesgos y peligros que esa práctica puede suponer. El 85% de los hombres son plenamente conscientes de los peligros mientras que solo  un 44% de las mujeres lo son.
Parece ser que los hombres "pasan" de los riesgos que supone la utilización de una misma contraseña en distintos sitios o la utilización de una mala contraseña, a pesar de ser conscientes de ellos.
Viendo estos resultados, creo que nunca está de más la concienciación sobre las buenas prácticas en la utilización de contraseñas, y los riesgos que una mala contraseña puede contraer.
Buenas Prácticas
  • La mínima longitud de una contraseña debe ser 8 caracteres.
  • Cuando se habla de caracteres, estos deben incluir letras Mayúsculas, Minúsculas, Números y signos de puntuación como _-,.$%() o aquellos que la aplicación permita. Una buena contraseña, debe tener por lo menos caracteres de 3 de los 4 grupos mencionados.
  • La contraseña no debe ser una palabra de diccionario. Para formar una contraseña adecuada se recomienda la utilización de frases para formarla (p. ej.: El perro de San Roque no tiene rabo -> EpdSRntr)
  • Cada 6 meses se deberían cambiar las contraseñas que tenemos en los sitios web.
  • Las contraseñas no deben estar apuntadas en ningún papel o en ningún fichero en claro que podamos tener, y sobre todo no apuntar en el mismo papel o fichero a que software o web pertenecen.
Riesgos
  • La utilización de la misma contraseña en distintas web puede acarrear el acceso indebido a todas nuestras cuentas en caso de que alguien averigüase la contraseña. Imagínate que por un fallo de seguridad en un foro al que accedes, el atacante podría acceder sin problemas a tu correo o a tu cuenta bancaria porque tiene la misma contraseña.
  • Una contraseña de menos de 7 caracteres puede permitir a un atacante realizar ataques de "fuerza bruta" para conseguir averiguar tu contraseña.
  • A pesar que los ataques de fuerza bruta llevan tiempo, si no cambiamos nunca de contraseña, estamos dando tiempo infinito para que alguien intente averiguar la contraseña.
Si bien muchos de estos riesgos son conocidos por la mayoría de las empresas que ofrecen servicios web a sus clientes y ofrecen medidas paliativas para evitar ataques, no olvidemos que somo nosotros los responsables del uso adecuado de las contraseñas.
Seguro que muchos estarán pensando: "Pero, ¿quién es el majo que se aprende 30 contraseñas distintas para acceder a los distintos sitios a los que accede?". Para ayudar a aquellos que tengan su memoria ocupada por información más importante que sus contraseñas, existen en Internet soluciones tanto comerciales como Freeware para el almacenamiento de contraseñas de manera segura. Así, solo deberán recordar una sola contraseña, la del acceso al programa ;-)
Bueno, espero que este artículo sirva como recordatorio sobre uno de los conceptos básicos de la seguridad.