AVISO: Nos hemos integrado con Facebook y Twitter. Ahora, podrás decir si te gusta o no uno de nuestros artículos con tu usuario de la red social. También podrás difundir los artículos que más te gusten a través de cualquier medio. Ayúdanos a que los artículos sean más interesantes dándonos tu opinión. Gracias.

viernes, 24 de diciembre de 2010

Feliz Navidad y próspero 2011


Otro año más llegamos a la Navidad y es un buen momento para  acercarnos a todos vosotros y desearos unas felices Fiestas. Desde IBERDAT queremos agradecer el apoyo que nos habréis prestado, así como vuestros comentarios que nos ayudan a mejorar día a día.

Os deseamos el mejor de los años, para este año 2011 que está a punto de comenzar.

FELICES FIESTAS

miércoles, 15 de diciembre de 2010

Puertas traseras: Gran Hermano al acecho.

Desde época de películas como "Juegos de Guerra" conocemos la posibilidad que tienen los desarrolladores de introducir puertas traseras (backdoors) en los códigos desarrollados. En sistemas de millones de líneas de código, estas puertas traseras pueden pasar desapercibidas año tras año. Con estas puertas, se intenta tener un acceso sencillo saltándose las medidas de seguridad estandar que pueda tener implementado para los usuarios legítimos de la aplicación. Otro ejemplo de puertas traseras son las que gusanos, troyanos y derivados, abren en los sistemas para poder ser controlados remotamente.

Toda esta explicación sobre las puertas traseras viene a colación de la noticia que ha surgido en estados unidos, sobre el intento, por ahora no hay nada demostrado, de colocación de puertas traseras en el código fuente del sistema operativo OpenBSD. Según el ex-contratista del gobierno Gregory Perry, quien ayudo a desarrollar el framework de librerías criptográficas de OpenBSD hace más de una década, otros contratistas fueron pagados para introducir puertas traseras en el código fuente de este framework. Si esto fuese cierto, los túneles VPN basados en este código serían vulnerables. 

Este ex-contratista apunta directamente al FBI y al pasado gobierno de Bill Clinton como los interesados en introducir este tipo de puertas traseras.

Si bien la noticia puede ser una más de esas teorías de la conspiración, abre una puerta a la desconfianza ya no solamente en el código OpenSource, sino también en el de compañías de USA. ¿Habrá obligado el gobierno de USA a introducir puertas traseras en el código de sistemas para tener acceso a los sistemas del resto de los paises?¿Estamos seguros en España de que los sistemas utilizados por el gobierno, ministerios, entidades públicas, etc. no tienen puertas traseras que permiten a otros gobiernos acceder a información sensible?

Lógicamente, no podemos entrar ahora en un estado de shock y desconfiar de todo lo que usamos, pero si es conveniente fomentar el desarrollo tecnológico y la producción de software y tecnologías "Made in Spain" donde ya existe el conocimiento y la calidad suficiente como para hacerlo.

Y para poner todavía más nerviosos a todos antes de navidad, ¿Si a través de software distribuido se  pueden poner puertas traseras y puede resultar complicado, no es mucho más sencillo hacerlo en las nuevas arquitecturas virtualizadas: SAAS?

Espero no atragantar los primeros turrones a nadie...

miércoles, 1 de diciembre de 2010

El campo es campo, o es privado...

Llevamos ya unos cuantos meses, oyendo campanas sobre la privatización de la navegación de Internet. Es decir, las compañías operadoras que nos dan acceso a Internet pretenden tener un control de consumo que hacemos de Internet más exhaustivo. Lo que inicialmente nació como un sitio libre donde la gente se pudiese comunicar independientemente de donde estuviese, quieren que sea algo restringido al poder adquisitivo de la persona que se conecta. Seguro que algunos estaréis pensando: "Bueno, es lo que sucede ahora. Si no tienes dinero no te conectas.". Y si, es cierto, ahora ya sucede.

Pero imaginemos que en vez de pagar por la conexión, encima te cobrasen dependiendo de a que contenidos quieres acceder. ¿Qué sucedería entonces? Los ejemplos puestos por las operadoras siempre son los mismos: "Claro, si un usuario accede a contenidos P2P satura la red. Y nosotros no vamos a hacer inversiones en infraestructuras para que solo sean aprovechadas por un 10% de nuestros clientes.". La argumentación parece lógica y plausible. Es cierto, que el 10% de los usuarios cosumen el 80% del ancho de banda de las empresas de comunicaciones.

Entonces, ¿ qué hacemos ?. Ahí está el debate principal que actualmente se está llevando. Por un lado, las operadoras que quieren cobrar por los contenidos; eso si, como no podrán hacerlo a las compañías que los generan (o quizás si), lo harán a los usuarios que los consumimos. Y por otro lado, los usuarios que consideran que en el siglo en el que nos encontramos, Internet es un derecho más de la ciudadanía como puede ser el derecho a la vida o a la educación.

Si nos fijamos en lo que se está haciendo en otros paises, sobre todo en el mercado Latinoamericano donde todavía se mueven muchas cosas en base a "lobbies", vemos que empresas como Telefónica (de que me sonará a mi esta compañía), ya han generado paquetes de conexión a Internet de acuerdo a lo que quieres acceder (se puede ver en la imagen a continuación):

Si bien, estos planes son más baratos que la conexión completa y parece una opción más para los usuarios, veamos que otras implicaciones tiene. Imaginemos que somos una empresa que desea sacar al mercado un nuevo concepto de red social. Nuestra nueva red social se llamará "Unified" y vamos a expandirnos en el mercado Latinoamericano (por poner un ejemplo). En este caso, ya tenemos los primeros impedimentos. Muchos usuarios que se conectan a Internet no podrán ver nuestra página, porque el operador de turno ha hecho un acuerdo con Facebook, Twitter y Hi5. Bueno, seguro que pensamos que solo tenemos que hablar con la operadora de turno para que nos añada. Eso seguro que es muy sencillo, bajo el pago de una cuota a la operadora. En conclusión, nuestra nueva red social no competirá en las mismas condiciones que el resto.

Al final, si seguimos intentando poner vallas al campo, las empresas operadoras de comunicaciones acabarán por convertirse en los censores de la información que los usuarios pueden visualizar. Con esto, solo me gustaría resaltar, que quizás, para asegurar la capacidad de la población de expresarse libremente (siempre y cuando cumpla las leyes), las redes de comunicaciones desde y hacia Internet no deberían estar reguladas en cuanto a la capacidad de filtrado por los gobiernos, evitando así, que posibles acuerdos comerciales limiten o censuren contenidos en Internet.

No me quiero extender mucho más, pero el debate está en la calle y depende de todos que este debate se mueva en una dirección o en otra.

viernes, 19 de noviembre de 2010

Falsas creencias: Un peligro para la seguridad...

Llevo mucho tiempo queriendo hacer un post hablando de las falsas creencias por parte de los usuarios de sistemas de información, e incluso por "profesionales" del sector. Y hoy, tras leer mi resumen semanal de vulnerabilidades en sistemas, me he dicho: "Es el momento de hacerlo".

En algunos de los foros profesionales en los que participo, siempre hay tarde o temprano una discusión sobre que es mejor: Windows, Mac Os, Linux, etc. Realmente, no se llega a tal grado de profundidad. La mayoría de la gente solo se queda en si es mejor Windows o Mac. En este sentido, hay respuestas para todo. Que quede bien claro, que por mi parte no soy defensor de los sistemas Windows. Me gusta mantenerme en una independencia tecnológica, ya que pienso que dependiendo de que quieras hacer, hay un sistema adecuado a tus necesidades.

En este tipo de debates, uno de los argumentos que utilizan los "Maqueros" para defender su ideología, es que los sistemas Mac Os son más seguros que Windows e incluso, son tan seguros que no necesitan antivirus. Sin llegar a leer lo que pongo más adelante, ¿creéis que esta afirmación es adecuada?

Los que opinan que "SI", deberían empezar a preocuparse. A efectos estadísticos, seguramente Windows tiene más incidencias de seguridad que Mac. A efectos estadísticos, Windows tiene más virus que Mac. Pero realmente, eso no significa que:
  1. Mac no tenga incidentes de seguridad.
  2. Mac no tenga virus/troyanos específicos para ellos.
Sin ir más lejos, hoy salía una actualización para los sistemas Mac Os X que soluciona, permítanme una licencia de mi tierra, "un porrón" de vulnerabilidades. Hago una copia de los servicios referidos:

10.47.6 CVE:
CVE-2010-3798,CVE-2010-3797,CVE-2010-3796,CVE-2010-3795,CVE-2010-3794,CVE-2010-3793,CVE-2010-3792,CVE-2010-3791,CVE-2010-3790,CVE-2010-3789,CVE-2010-3788,CVE-2010-3787,CVE-2010-3786,CVE-2010-3785,CVE-2010-3784,CVE-2010-3783,CVE-2010-1847,CVE-2010-1846,CVE-2010-1845,CVE-2010-1844,CVE-2010-1843,CVE-2010-1842,CVE-2010-1841,CVE-2010-1840,CVE-2010-1838,CVE-2010-1837,CVE-2010-1836,CVE-2010-1834,CVE-2010-1833,CVE-2010-1832,CVE-2010-1831,CVE-2010-1830,CVE-2010-1829,CVE-2010-1828,CVE-2010-1803,CVE-2010-1378
Platform: Cross Platform
Title: Apple Mac OS X  Multiple Security Issues
Description: Apple Mac OS X is exposed to multiple security issues
that have been addressed in Security Update 2010-007. The update
addresses new issues that affect the following: AFP Server, AppKit, ATS,
CFNetwork, CoreGraphics, Apple Type Service, CoreGraphics, CoreText,
Directory Service, Image Capture, ImageIO, Image RAW, Networking,
Kernel, OpenSSL, Password Server, Printing, QuickLook, QuickTime,
Safari RSS, Time Machine, and xar. 
Ni que decir tiene, que Apple se ha "apresurado" a publicar una actualización para solucionar estos problemas. Pero, a lo que íbamos, ¿realmente seguimos pensando que Mac es super-seguro? ¿No estaremos cayendo en un problema de desconocimiento?

Como les suele pasar a los responsables de sistemas de las empresas, el no conocer que nuestros sistemas tienen una vulnerabilidad o están siendo atacados, no significa que estemos seguro. Es el principio de la avestruz, que cuando ve un peligro esconde la cabeza para no verlo. Esto no hace que desaparezca.

Dicho esto, creo que deberíamos tener más en consideración que nuestro sistema, da igual que sea Windows, Mac Os, Linux, Solaris, etc. debe estar bien gestionado y debe tener las herramientas de seguridad mínimas que nos permitan acceder a Internet con cierta seguridad. Y digo cierta, porque la seguridad perfecta no existe. Ni en el mundo digital, ni en el mundo físico. Espero que estas afirmaciones no hagan que alguno no duerma de terror este fin de semana. ;-)

miércoles, 17 de noviembre de 2010

La botnet Koobface desconectada.

Desde mediados de 2008, la botnet Koobface empezaba su andadura en el mundo digital. Al menos, fue cuando se detectó. Esta botnet, al igual que otras, conseguía infectar ordenadores con la finalidad de seguir propagándose a los contactos que tuvise en Facebook o Google, y seguir obteniendo ordenadores zoombies. Con su operativa, ha conseguido tener millones de ordenadores zoombies y millones de dolares de beneficios. Estos beneficios eran producidos por la venta de falsos antivirus por Internet, así como cobro de tarifas por publicidad. En total, más de 2 millones de dolares generados. Eran tan minuciosos que recibían un SMS diario con los beneficios del día.
Pues bien, desde el pasado viernes varios investigadores de SecDev Group y la policía británica conseguían detener los servidores que controlaban la red de ordenadores zoombies. Parece ser que la acción combinada de expertos en seguridad, las fuerzas de seguridad del estado y los proveedores de servicios de Internet han conseguido dar el golpe definitivo a una de las botnets que si bien no era la mayor, si continuaba funcionando después de casi dos años. Esperemos que aprendamos de esta colaboración y consigamos entre todos, hacer de Internet un sitio más seguro en el que nos podamos mover sin tener que mirar por la retaguardia.

martes, 16 de noviembre de 2010

Innovación, adaptación o supervivencia.

Actualmente, la innovación parace ser el motor principal de la economía empresarial a nivel global. Las empresas deben dedicar su tiempo no solamente a generar nuevos ingresos aumentando las ventas, sino a innovar en sus procesos para así mejorar la eficiencia de estos y/o ser diferenciadores de la competencia. El concepto de innovación, que parece algo nuevo, es un termino utilizado en gestión empresarial desde hace muchas décadas, por no decir siglos. Pero, ¿qué encierra realmente esta palabra?¿estamos preparados para innovar?

Al igual que en los años 60 con el movimiento hippy, la innovación debe ser una filosofía de vida. Una filosofía que debe empapar cada estrato de las organizaciones empresariales, porque nunca se sabe donde va a  nacer la idea innovadora. Al fin y al cabo, la innovación no es más que eso, una idea "rompedora" para el entorno donde se produce, que viene a mejorar en mayor o menor medida la competitividad. Algunas de estas ideas nacen de un análisis del entorno, donde la empresa intenta adaptarse a los nuevos conceptos, herramientas y tecnologías existentes. En este sentido, la utilización de redes sociales, Internet o simplemente el teléfono móvil, ha sido una innovación para muchas empresas para adaptarse a los cambios socio-culturales-tecnológicos.

Pero realmente, ¿son esas las ideas innovadoras que hace falta?. Desde mi punto de vista, ese tipo de innovación es un mero proceso natural de adaptación o supervivencia a un entorno cambiante, en el que ,cual barco en mitad del mar, se va orientando el rumbo de acuerdo a como vengan las olas. La importancia de lo que encierra la palabra innovación, es lo que realmente hace que una empresa sea puntera en su campo, y eso es la investigación. A nivel empresaríal no deberíamos conformarnos con adaptarnos y sobrevivir en este mar cambiante con olas de mayor o menor tamaño, debemos ser los generadores de olas que marquen el ritmo del mercado.

Esta tarea de investigación, no es solo propiedad de las grandes empresas. La Pyme, dentro de su ámbito, tiene un papel fundamental en el proceso de investigación, y aunque es un proceso no siempre generador de beneficios, el resultado suele dar buenos frutos a la larga. Si echamos un vistazo a los mercados de Estados Unidos, allí la inversión en investigación es una de las base primordiales de muchas empresas. Se patrocinan 6 de cada 10 proyectos de investigación, de los que quizás solo 1 o 2 acaban siendo rentables. A pesar del pequeño porcentaje de éxito, sus olas mueven gran parte del mercado.

"Innovar" es el futuro, siempre lo ha sido, y siempre lo será. Nuestras empresas se deben desmarcar del resto y cuando antes lo hagan, antes obtendremos los beneficios de posicionarnos con antipicación. Pero, ¿estamos preparados para dar el cambio a este reto?

miércoles, 27 de octubre de 2010

IBERDAT invitado a las JST2010 en Ecuador.

Hoy día 27 de Octubre comienza en Ecuador las Jornadas de Sistemas de Telecomunicaciones 2010 en la Universad Técnica Particular de Loja en Ecuador (Enlace aquí). En las jornadas participará IBERDAT SECURITY como ponente especializado en Seguridad de la Información. Desde IBERDAT se expondrán la ponencia "Anatomía de un ataque: Diseccionando el aprendizaje" y un taller donde se ensañarán los mecanismos necesarios para realizar Hacking en aplicaciones Web. Las ponencias podrán ser seguidas Online a través del siguiente enlace (Enlace aquí).
Aprovechando esta gira de IBERDAT por Ecuador también se han realizado contactos con la Escuela Superior Politécnica del Litoral (ESPOL) donde se expuso una charla sobre Gestión de Identidades.

miércoles, 20 de octubre de 2010

Técnicas de evasión avanzadas.

Hasta el momento, la mayor parte de las empresas y gobiernos vivían relativamente seguros fortificando las capas periféricas de la red. La utilización de firewalls, IDS o IPS, establecían una barrera suficiente para detectar y bloquear la mayoría de los ataques y malware actuales. Como todo en seguridad, muchas veces no se sabe si nuestros sistemas están seguros o, simplemente, es que no nos enteramos de que no están seguros.
En estos momentos, podríamos decir que no estamos seguros de si nuestros sistemas bloquean todos los ataques que nos realizan. El lunes, la empresa Stonesoft especializada en hardware de seguridad, sacó una alerta sobre un nuevo concepto de técnicas que permitirían evadir la protección que nos proporciona los IDS y los IPS. Para los que no sepan que son esas siglas, una reseña rápida:
  • IDS -> Sistema de detección de intrusos. Sistema o software que monitoriza la red y/o las actividades de los sistemas para detectar actuaciones maliciosas o violaciones de las políticas diseñadas y reportarlas a un servidor central de monitorización.
  • IPS -> Sistema de detección y prevención de intrusos. Es una derivación de los IDS que permite, además de detectar las actuaciones maliciosas o violaciones de las políticas, bloquear y reportar las actuaciones realizadas para evitar las intrusiones.
Continuando con las técnicas de evasión, hasta ahora, ya eran conocidas y gran parte detectadas por la mayoría de los fabricantes de dispositivos. Una técnica de evasión es como si en una conversación, se cambiase el lenguaje de comunicación para evitar que las personas que monitorizan entiendan de lo que se está hablando. Estos nuevos "lenguajes" se han ido incorporando a los distintos IDS e IPS según se han ido detectando. Pero ahora, las técnicas se han complicado, ofreciendo tal cantidad de posibilidades de evasión que resulta complicado introducir todas las posibles combinaciones para detectarlas.
Pongamos un ejemplo para aclarar el tema. Imaginemos que disponemos de un servicio al cual tenemos comunicación. Si nosotros enviamos un malware a ese puerto para que sea instalado en la máquina local, los sistemas de detección posiblemente los detectarían y lo bloquearían. Imaginemos que en vez de enviar el malware en distintos paquetes hacia el puerto desde la misma ip, troceamos este malware en pequeños paquetes que son enviados desde distintas IPs al puerto de servicio, que es encargado después de recomponer el malware. De esta manera, al no venir el malware de una sola ip, sino de varias y fragmentado, a los dispositivos IDS les resulta muy dificil detectarlo.
En resumen, en el juego del gato y el ratón volvemos a un nuevo ciclo en el que las empresas de seguridad deberemos agudizar el ingenio para ofrecer mayor seguridad a nuestros clientes evitando este nuevo conjunto de técnicas.

viernes, 1 de octubre de 2010

Nueva iniciativa de promoción de la Seguridad de la Información

Todos conocemos, o bueno, deberíamos conocer las actividades de promoción de los conocimientos en seguridad de la información que realiza Cryptored. Esta red que nace a finales de 1998 e intenta aunar los esfuerzos docentes de varios paieses en la promoción de información sobre criptografía y seguridad, ha dado un nuevo paso en la promoción de este tipo de contenidos. Ayer día 30, vió la luz su nuevo proyecto: Intypedia, que intenta explicar de una manera visual y clara los conocimientos básicos, y según comentan no tan básicos, sobre seguridad de la información.
Actualmente solo disponen de dos vídeos, uno de presentación y otro de fundamentos de la criptología en europa. Si bien son de nivel básico, la iniciativa promete.
Desde aquí, les animamos a que continuen.

miércoles, 29 de septiembre de 2010

El malware surfea los adelantos tecnológicos.

Siempre se ha comentado que los cambios tecnológicos afectan a la sociedad: televisión, teléfonos, internet. etc. Todos y cada uno de ellos han variado nuestra forma de percibir nuestro entorno y la manera de comunicarnos con este. Con cada cambio, siempre viene asociado una adaptación de los elementos existentes a los nuevos medios de los que se dispone y estos cambios a veces no se realizan tan rápido como la tecnología avanza. Seguro que os estáis preguntando a que viene esta disertación de los cambios. Viene a cuento de la implementación de medidas de seguridad.
Uno de los entornos que más ha apostado por su incorporación a Internet es el entorno bancario. Atrás quedan sus inicios donde su seguridad se basaba en SSL y autenticación por usuario y contraseña. Eso si, para no molestar mucho a sus clientes, una contraseña de 4 dígitos como en las tarjetas de crédito de los cajeros. Con el tiempo, se fueron dando cuenta que los "malos" no eran tan tontos como para no averiguar por fuerza bruta esos dígitos, así que empezaron a poner elementos que dificultasen los ataques. Bloqueo de cuentas, tarjetas de coordenadas para operaciones sensibles, teclados virtuales para introducir la contraseña, etc. Y bueno, los malos, como deben disponer de mucho tiempo e ideas, iban reaccionando a las medidas de seguridad implantadas: Phising para evitar el bloqueo de cuentas y conseguir las tarjetas de coordenadas, troyanos instalados en los equipos de los clientes para capturar las pulsaciones del teclado y del ratón, etc. Y bueno, el ciclo se volvió a repetir. 
Las cabezas pensantes del entorno bancario empezaron a pensar en utilizar algo que el usuario no conociese hasta el momento de utilizarlo. Y, ¿cómo conseguir eso?. Con un dispositivo que el usuario disponga y que pueda recibir comunicaciones para poder obtener el código aleatorio generado por el propio banco. La solución es simple y elegante, y permitía tener un elemento fuera del alcance de los "malos". Pero aquí es donde la tecnología muchas veces avanza sin contar con las implicaciones de seguridad de los sistemas que las utilizan. Es decir, todos ya hemos oido que los teléfonos móviles empiezan a tener los primeros virus. Si bien esto puede parecer que carezca de importancia más allá de mandar SMS o robar la lista de contactos, puede tener un riesgo mayor del esperado.
Los nuevos terminales con sistemas operativos como Android o las propias Blackberrys, permiten la instalación de aplicaciones desde internet. Imaginemos por un momento el siguiente ataque:
  1. El usuario se infecta con un troyano especializado en Banca. (las causas o motivos pueden ser muchos)
  2. El usuario accede a su página de banca oline.
  3. Al usuario se le pide el usuario y contraseña.
  4. Una vez introducidos, se le pide el modelo y el número de teléfono (cualquier excusa es válida)
  5. El usuario que no ve ningún problema en ello, los proporciona, y acto seguido recibe un SMS de parte del "banco impostor" que le pide que descargue una aplicación para firma electrónica. Esta aplicación es un malware.
  6. Una vez que el atacante tiene controlado el ordenador y el móvil, las protecciones basadas en el envío de un SMS para realizar operaciones ya no tienen efecto. El malware del teléfono es capaz de interceptar los SMS que recibe con los códigos del banco, reenviarlos a sitio del atacante y utilizarlos sin que el usuario se percate de la recepción de esta información.
Si le ha costado un poco imaginarse este ataque, quizás prefiera ver una prueba documentada en la siguiente web (pinche aquí - Está en Inglés). Volvemos otra vez a comenzar el ciclo de protección.
Finalmente, aparecerán los teléfonos que lean las huellas dactilares o utilicen mecanismos biométricos para validación de datos o descifrado de los mismos. Pero, ¿qué fallos podrán inventar los "malos" para seguir en el juego?
Este post espero que nos haga reflexionar sobre la inversión que se realiza en mecanismos de seguridad. Esta inversión no solo debe ser inicial, sino mantenida a lo largo del tiempo.

martes, 14 de septiembre de 2010

Perl y Kinosearch

Tras muchos artículos alejados del mundo técnico estricto, volvamos a la programación en Perl. Me he visto envuelto en el desarrollo de una utilidad que me permitiese realizar migraciones de datos de unos repositorios a otros. Si bien puede parecer algo sencillo, la cosa se empieza a complicar cuando los datos no son del mismo tipo, hay que hacer transformaciones e incluso hay tablas destino que se componen de varias tablas origen.
Si bien las consultas SQL pueden realizar gran parte de las selecciones y agrupamientos, acaba siendo poco versatil para todas las transformaciones necesarias.
Al final, la solución más sencilla es procesar ficheros CSV y transformarlos en otros CSV o en sentencias SQL que permitan introducir los datos directamente en la base de datos destino. Pues bien, en esta herramienta que al final creo que ha salido bastante completa, incorporé la comprobación de una serie de condiciones. Para una de esas condiciones, la de unicidad, requería saber si un mismo dato había sido ya procesado (por ejemplo un DNI). Que si, que se podría haber utilizado un select distinct para evitar la duplicidad de DNIs, pero que sucede cuando los DNI no tienen un formato estanda y pueden estar como xx.ddd.sss-v o xxdddsssv o xxdddsss-v, etc. Al final la cosa comienza a complicarse tanto que una solución a base de SQL sin tener una calidad de datos decente se hace imposible.
Como he comentado, al final, para dar solución la utilidad acaba limpiando los datos y transformándolos de acuerdo a unos patrones lo que permitía después poder consultar las condiciones sobre los datos ya estandarizados. Y que manera se me ocurrió para hacer las consultas teniendo en cuenta que podría llegar a procesar ficheros de varios miles de líneas? Mantener tal cantidad de información en memoria es algo inviable, así que opté por el uso de una "BBDD" o lo que más se pareciese. Después de valorar usar DBF o incluso un fichero Access, me decanté por la solución Lucene. 
En Perl, hay un par de proyectos que implementan la portabilidad de Lucene. Estos son Plucene y Kinosearch. Si bien Plucene es una portabilidad puramente en Perl, Kinosearch es más rápido que su hermano Plucene. Si buscas en Internet hay algún estudio de benchmark con la librería de Java, Plucene y Kinosearch. 
La única pena de utilizar Kinosearch es que el indice no es compatible con Lucene, pero bueno, para el uso que se le debía dar era suficiente. Si tuviese otros requerimientos quizás la solución escogida hubiese sido otra.
Una de las cosas que hubiese estado bien que incorporase las librerías de Kinosearch es que detectase la existencia del indice para crearlo o añadir más campos al mismo. Si bien es fácil de implementar una función que lo haga, es algo que debería haber estado incluido.
Al final, tube que generar mi propio generador del indice con la sigiuente función:
sub get_indice ()
{
      my ($nombre) = @_;  
      $create = (-d './index/'.$nombre)?0:1;
       my $invindexer = KinoSearch1::InvIndexer->new(
        invindex => './index/'.$nombre,
        create   => $create,
        analyzer => &get_analizador(),
    );
    return $invindexer;
}

En conclusión, las búsquedas teniendo un índice de 8000 registros y 14 campos cada registro no tardan más de 0,2 segundos, cosa que es de agradecer cuando procesas miles de registros. Además, la herramienta funciona tanto en Windows como en Linux, consiguendo una portabilidad más que suficiente.
Posiblemente, en un post futuro exponga la arquitectura de la herramienta por si puede ser de interés a alguien.

lunes, 30 de agosto de 2010

Redes sociales: El nuevo filón.

A primeros de agosto salía la noticia de que Telefónica compraba Tuenti. El gigante de las telecomunicaciones vuelve a posicionarse en el mundo de Internet (como ya intentó con Terra) pero de una manera un poco diferente. El principal negocio de Telefónica en esta Red Social no será el cobro por servicios, la red está orientada a un rango de edades entre 14 y 25 años y su nivel adquisitivo no es alto, sino que está orientado al modelo publicitario donde captar nuevos clientes para sus servicios. En un tiempo, deberemos preguntarnos que pasará con la información privada que los usuarios colocan en esa red.
Comento esto de la información, porque el viernes salió un artículo sobre una nueva ley que la Canciller Merkel pretende sacar en Alemania (ver artículo aquí). Denominada Ley Facebook, intenta prohibir el uso de la información publicada en las redes sociales como elemento de juicio en la contratación de personas. Si bien sería una ley ilusoria (ya volvemos a intentar poner vallas al campo) por su complejidad a la hora de aplicarla, si incide en la necesidad de privacidad en las redes sociales. 
Y ante todo este saco de informaciones referentes a redes sociales, en septiembre verá la luz el proyecto Diaspora. Sus creadores, Daniel Grippi, Maxwell Salzberg, Raphael Sofaer e Ilya Zhitomirskiy, estudiantes de la Universidad de Nueva York, han ideado una nueva red social en la que el usuario no pierde nunca el control de la información que publica. A través de algoritmos criptográficos, se intenta que el usuario mantenga el control de la información publicada en su red social. El proyecto a tomado bastante relevancia al ser el propio Mark Zuckerberg, fundador de Facebook, el que ha financiado parte del proyecto. Habrá que seguir de cerca este nuevo concepto.
El mundo virtual está en constante evolución y la mayoría de las veces se mueve más rápido de lo que nuestros cerebros son capaces de asimilar. Pero por muy rápido que se mueva, hay cierto sentido común que siempre se puede aplicar a todo. Si no quieres que alguien sepa algo sobre ti, no se lo digas a nadie y menos lo publiques en una red social.

lunes, 23 de agosto de 2010

Peligros digitales para la empresa.

El mundo de las encuentas nos permite tomar el pulso de algunos temas que de otra manera no podríamos anticipar. Una de las últimas encuestas realizadas en USA y en UK sobre 3517 encuestados (ver aquí), pone de manifiesto que los empleados de una empresa no tienen ningún tipo de reparo en robar información electrónica perteneciente a la empresa en la que trabajan. En este sentido, el 49% de los empleados de USA y el 52% de UK lo afirmaron con rotundidad.
Estos datos nos debe hacer reflexionar sobre quien son realmente los atacantes más peligrosos de una empresa,¿ los externos o los internos?. Viendo los datos de esta encuesta, creo que la respuesta es sencilla.
Las empresas grandes, llevan años implementando sistemas de protección de acceso a la información interna: proyectos de gestión de identidades, securización de activos, deshabilitación de medios extraibles, etc. Sin embargo, en las pymes se prima más el acceso a la información y la confianza que la seguridad y la restricción. La pregunta que deberíamos hacernos es: ¿Tienen nuestros empleados facilidad para llevarse información sensible de la empresa?¿La información a la que tienen acceso, es la que necesitan para trabajar o disponen de más información de la necesaria?¿Sabemos como mejorar la seguridad de nuestra información?
Las respuestas correctas deberían ser: No, Necesaria para trabajar y Si. Si en alguna no ha respondido de esa manera, tiene su empresa en riesgo. Muchas veces, la medición de la cuantía económica que supone la ocurrencia de un riesgo es complicada, pero para poner un ejemplo, imagínense que un empleado roba los datos de todos los clientes con su facturación anual y precios que se le realiza. Imaginemos que este empleado acaba en un empresa de la competencia y que con la información que robó consigue traspasar a su nueva empresa un 10% de los clientes. ¿De cuantos miles de euros estamos hablando? Creo que está claro que a nadie le gustaría que esto sucediese. Pero, ¿qué podemos hacer para evitarlo?
Como hemos comentado antes, lo primero de todo es plantearse que independientemente del tamaño de la empresa un trabajador solo debe acceder a la información que necesita para realizar su trabajo. Ni más, ni menos. Aparte de restringir el acceso, deberíamos ser capaces de saber, cuando y de que modo, se ha accedido a la información. Esta parte, junto con una clausula de confidencialidad puede ayudarnos mitigar los riesgos de robo. En definitiva, debemos poner énfasis en un correcto control de acceso e invertir en formación y/o infraestructura para evitar que estos robos ocurran.
Como dice el refranero: "Confianza sin tasa empobrecera tu casa", o lo que es lo mismo, en la confianza está el peligro.

jueves, 5 de agosto de 2010

¿Es seguro tu Navegador?

La herramienta que más utilizamos, normalmente, en un ordenador es el navegador web. Internet Explorer, Mozilla, Chrome, Opera, etc. la lista y las versiones de unos y de otros es larga y muchas veces, incluso tenemos instalados varios en nuestros ordenadores. Pero, ¿nos preocupamos de actualizar nuestros navegadores?¿Es suficiente con la actualización de la versión del navegador?
La respuesta es NO. 
Desde hace algún tiempo, los propios navegadores se preocupan de comprobar si están actualizados para que el usuario simplemente tenga que aceptar la actualización. Pero esto, no es suficiente. Los navegadores modernos no solo dependen de su motor para visualizar las páginas, sino que utiliza una serie de plugins y complementos para poder ver todos aquellos elementos que se escapan del estandar HTML. Páginas en flash, java, etc. hacen que nuestros navegadores tengan que utilizar software de terceros para poder ser lo suficientemente flexibles y completos para visualizar todos los tipos de páginas web que existen en el mundo.
Esto implica que la seguridad de nuestro navegador no solo depende de él mismo, sino que también es importante la seguridad de los complementos que el navegador utiliza. En este sentido, la empresa Qualys ha desarrollado una herramienta para poder chequear la seguridad de nuestros navegadores, visualizando de manera sencilla si tenemos algún elemento que deba ser actualizado y facilitando su actualización redirigiéndote a la página del fabricante para poder realizarlo. Me ha parecido una herramienta sencilla pero de gran ayuda para controlar si las versiones son las últimas. Podéis acceder a la herramienta en: https://browsercheck.qualys.com/. Ya solo falta que los navegadores tenga esta funcionalidad incorporada de serie para poder hacer más robusta su utilización.
Con el ejemplo de los navegadores, queda cumplido el dicho de seguridad: "La seguridad máxima de un elemento viene dada por la seguridad del componente más débil.".

jueves, 29 de julio de 2010

Las Botnet y su repercusión.

Una de las palabras que suele aparecer en la prensa que tratan temas IT e incluso en las que no, es el término de Botnet. Pero, ¿sabemos que significa el término y como influye en la seguridad global de Internet?
Muchas son las veces que en conversaciones con clientes, amigos y conocidos me han dicho una frase como: "Bueno, a mi es que me da igual que me entren en el ordenador de casa, no tengo ningún dato interesante.". Si bien es una actitud comprensible y lapidaria, realmente es algo equivocada. Es cierto que los datos personales que podemos llegar a tener en nuestros ordenadores caseros carecen completamente de importancia para las mafias o grupos organizados de delincuentes. Seguro que no van a realizar un ataque específico contra un ordenador por su "valor" en cuanto a la información que contiene. Pero, ¿estamos seguros de que nuestro ordenador casero carece de importancia como "piso franco" para realizar actividades delictivas? Al utilizar el término "piso franco" quiero hacer una analogía con nuestros hogares. Imaginemos que nuestra casa carece de elementos de valor. No disponemos de joyas, cuadros valiosos, dinero, etc. Aún así,  ¿dejaríamos que delincuentes utilizasen nuestra casa para cometer delitos? Entiendo que la mayoría de las personas que lean esto, responderán que NO. Pues con un ordenador, casero o de empresa, la respuesta debe ser la misma. Debemos preocuparnos de proteger nuestros recursos y posesiones para que no haya ningún uso fraudulento de estos.
Después de esta primera disertación todavía no he explicado que es una Botnet. Bien, una botnet consiste en un conjunto de ordenadores que son manejados remotamente y de manera fraudulenta para efectuar actos delictivos como envío de SPAM, ataques contra empresas, robo de credenciales bancarias, robo de datos personales, etc. En el mercado negro, existe todo un mercado multimillonario de compraventa tanto de información personal como de software que permiten el control y manejo de Botnets. Hasta la fecha ha habido dos grandes botnets en el mundo: Conficker y Mariposa. Entre ambas, manejaban más de 8 millones de ordenadores (denominados ordenadores zoombies). Siguiendo con la analogía de los pisos, manejaban 8 millones de pisos francos en todo el mundo. Hoy, leyendo las noticias, he descubierto que entre el FBI, la policía eslovena y la Guardia Civil se ha detenido al creador de la botnet Mariposa (Ver link aquí). Si bien es una buena noticia, nos debe hacer reflexionar sobre otras botnet, seguramente no conocidas, que todavía están en funcionamiento. Las botnets tienen la característica de que no molestan al usuario, o por lo menos intentan molestarlo lo menos posible para que no se de cuenta de su existencia. Al contrario que los primeros virus que bloqueaban, borraban o cifraban datos del ordenador de la víctima, ahora se ha pasado a: "Para que voy a molestar a la víctima, si me puedo aprovechar de él sin que se de cuenta?".
La inversión en la seguridad de nuestros ordenadores es responsabilidad nuestra y debemos poner las cosas lo más complicadas posibles a los delincuentes. Un ordenador personal mal gestionado es como una casa que no tiene puertas y ventanas. Estaremos permitiendo que otros usen nuestros recursos para sus intereses. Y no nos olvidemos de la máxima de seguridad que dice: "La fortaleza de una cadena viene definida por la fortaleza del eslabón más débil.". Es decir, no conseguiremos que Internet sea seguro, si no nos preocupamos de asegurar el uso de los elementos más débiles.

viernes, 9 de julio de 2010

Se puede hacer Flash más seguro?

Llevaba un tiempo sin escribir por cuestiones personales, pero he decidido volver hoy de nuevo a la vida bloggera. Y que mejor forma de volver a escribir con una noticia como la que me he encontrado hoy. Ahí va...

Un investigador de una empresa de seguridad está desarrollando un complemento gratuito (Blitzableiter) para Firefox que permitirá evitar gran parte de los ataques que actualmente se realizan a través de Flash. Para aquellos que no tengan muy claro que tipos de problemas de seguridad vienen asociados con los elementos Flash que se pase por Securityfocus y filtre el resultado por Adobe y Flash Player.

La buena noticia, es que con este complemento se podrá evitar algunos de los problemas existentes a los que Adobe todavía no ha dado respuesta. En un mundo tan globalizado como el actual, una respuesta rápida ante los incidentes de seguridad es lo único que evita males mayores, y en esto Adobe no ha dado la respuesta que debería.

Ya solo tendremos que esperar a la reunión Black Hat de Las Vegas para comprobar la efectividad del complemento. Aunque los principios utilizados para aportar esa capa de seguridad prometen.

Por hoy, no me extenderé mucho más. Espero retomar de nuevo la actividad y poder ofreceros otros puntos de vista respecto a la seguridad.

viernes, 12 de marzo de 2010

Exploit para una vulnerabilidad del IE 6 y 7 disponible ya en Metasploit

Todo el mundo tiene asumido que cuando sale un nuevo software al mercado no sale con todas las posibles vulnerabilidades cubiertas. De acuerdo a las velocidades del mercado, esto supone a las empresas desarrolladoras disponer de un servicio de soporte que solucione las vulnerabilidades que aparezcan a lo largo de la vida del producto.
Pero, ¿qué sucede cuando la solución a alguna vulnerabilidad tarda en aparecer?
Puede suceder como le ha sucedido a Microsoft. Una de sus últimas vulnerabilidades (MSA-981374) que afecta al Internet Explorer 6 y 7, y que todavía no ha sido solucionada, ya tiene su xploit publicado. Y no solamente lo tiene publicado, sino que es un módulo del software de auditoría de seguridad Metasploit.
Según uno de los desarrolladores de Metasploit, HD Moore, acusa a los fabricantes de software a que solo responden con rapidez cuando los xploit son públicos.

Caida de Google

Hoy tenía pensado comentar otra noticia, pero mientras escribía el post creo que la noticia ha sido eclipsada por otra. Google se ha caido. No solo el navegador, sino todo el resto de las aplicaciones del mundo Google. Si bien ya ha recibido ataques anteriormente, tendremos que esperar a las explicaciones que en los próximos días pueda proporcionar la compañía.
Para no quedarnos solo en la anecdota de la caida de Google, planteémonos que sucede si nuestra empresa tuviese contratados los servicios de la nube de Google. Aquí en España, la caida no ha afectado mucho a las empresas por el horario de esta, pero imaginemos que ha podido pasar en USA. En momentos como estos es cuando hay que valorar la criticidad de los servicios contratados en la nube y cuales son los procedimientos establecidos para la continuidad de nuestro negocio.
Como en todo evento negativo, debemos pensar siempre en cuales son las cosas positivas en las que tendremos que centrarnos si queremos utilizar estos servicios de la nube.

viernes, 5 de marzo de 2010

Firma electrónica.

Desde que se aprobó la Ley 59/2003 sobre firma electrónica, se sentaban las bases para equiparar la firma manuscrita a la firma digital. Pero entendamos en que se basa esto de la firma digital.
La firma digital se basa en criptografía asimétrica, esto significa que la persona que firma debe disponer de un certificado digital. A efectos sencillos digamos que un certificado digital se compone de dos partes:
  • Una parte pública: Esta parte puede ser publicada o enviada a otros sin que corra riesgo nuestra identidad. En cuanto a la firma, esta parte sirve a los demás para verificar que algo ha sido firmado por nosotros.
  • Una parte privada: Esta parte es sensible y debe ser protegida lo máximo posible. Esta parte permitirá firmar documentos, procesos, facturas, etc.
Bueno, ahora que más o menos sabemos que es un certificado, ¿qué es una firma digital?

Imaginemos que tenemos un fichero con una factura que tenemos que firmar. A esta factura se le realizan unas operaciones matemáticas de caracter criptográfico denominado HASH. En lo que consiste es en realizar un resumen de la información. Este resumen es cifrado por nuestra parte privada del certificado. Lo que obtenemos lo enviamos junto con el fichero de la factura y ya tendríamos firmado digitalmente el fichero. Podéis ver un gráfico con la operación en esta imagen de wikipedia.
Lo explicado hasta ahora es lo que se denomina firma básica.
Pero, ¿cómo sabemos que nuestra firma es válidad? Para ello, realizamos la misma operación HASH sobre el documento original (sin la firma) que nos ha llegado. El valor de esta función deberá ser igual que el valor que me llega con el documento después de que lo descifre con la parte pública del certificado de la persona que lo firmó. Si los resultados de ambas operaciones coinciden, la firma es válida. Si no coinciden significa que el documento ha sido modificado no siendo una firma válida.

Bueno, después de la teoría, cuales son los usos de esta firma electrónica. Pondremos algunos ejemplos:
  1. Envío de mensajes de correo electrónico firmados. (proporciona autenticidad y no repudio)
  2. Hace unos cuantos años tuve que realizar un peritaje judicial entre dos empresas, siendo la autenticidad de un correo electrónico uno de los elementos a peritar. Al no haber firma electrónica no se pudo demostrar la autenticidad del emisor ni que el contenido no hubiese sido modificado.
  3. Facturación electrónica.
    Sin duda una de las aplicaciones donde se está obteniendo un retorno de inversión muy rápido. Asimismo, actualmente las facturas emitidas contra la administración pública deben ser en este formato.
  4. Nómina digital.
    Al igual que la facturación, la impresión de nóminas todos los meses es un gasto que puede ser disminuido con la utilización de la firma digital y una distribución electrónica de la misma.
  5. Firma de contratos.
    Si bien la firma de contratos parece todavía algo demasiado "físico" con la utilización de la firma digital y formatos como el pdf-147, podremos enviar un documento firmado sin tener que enviar dos copias firmadas con los correspondientes retrasos en tiempos.
Podría continuar con más ejemplos como votación electrónica, ahorro de espación con la digitalización de documentos,  aprobación y firma de procesos empresariales, etc.

En resumen, la firma digital es una tecnología implantada desde hace mucho tiempo, es decir, ya es una tecnología madura que tiene legislación que permite equipararla a la firma manuscrita. Si bien su incorporación a los procesos empresariales está siendo lenta, con la facturación electrónica se usará de una manera más activa a raiz de este año 2010.

Utiliza la firma y seguro que ahorrarás.

    jueves, 25 de febrero de 2010

    Cuidado con los correos electrónicos.

    Revisando las resoluciones publicadas en la Agencia Española de Protección de Datos, me he encontrado con una curiosa, pero a la vez preocupante (podéis verla aquí).
    De acuerdo a esta resolución, al infractor se le ha puesto una multa de 601,01 € pon infringir el artículo 10 de la LOPD. Y os preguntaréis, ¿cúal es el artículo 10 de la LOPD? El artículo 10 habla sobre la obligación del secreto profesional incluso después de finalizar las relaciones entre el responsable del fichero y el titular de los datos de caracter personal. En el caso que nos ocupa, el denunciado envío un correo electrónico de felicitación de navidad a todos sus contactos del outlook express sin utilizar el campo CCO (carbon copy oculto). Esto causó que la cuenta de correo electrónico del denunciante fuese conocidad por las personas del resto de la agenda electrónica del denunciado.
    Esto nos lleva a pensar que no le damos importancia a determinada información que tenemos de las personas. El correo electrónico, así como el teléfono o la dirección postal son datos de caracter personal y se les debe tratar con el mayor "mimo" posible.
    A partir de ahora ya sabéis, no enviéis emails masivos sin utilizar la copia oculta para todos los destinatarios. Ahora ya da igual que sean comerciales o simplemente una felicitación de navidad.

    lunes, 22 de febrero de 2010

    La gestión de proyectos: ¿una ciencia o un arte?

    El mundo de la gestión de proyectos ha ido evolucionando a lo largo de los años. Hay sectores en los que la definición de los proyectos se hace al milímetro y solo hay que anticiparse a los problemas (que suelen estar muy definidos) y revisar que los tiempos de ejecución son los correctos. Pero, ¿en los proyectos tecnológicos podemos decir que pasa lo mismo?
    De acuerdo a la experiencia que todos tenemos, en cuanto hablamos de implantación de tecnología o desarrollo de software, la mayoría seguro que se echan las manos a la cabeza. Los proyectos nunca acaban en el plazo proyectado, y a veces los recursos consumidos se llegan a duplicar.
    Entonces, ¿podemos decir que la Gestión de Proyectos en el ámbito tecnológico es un arte?
    Desde mi punto de vista, NO. Aunque, si que requiere que el gestor del proyecto sepa muchas veces improvisar. Ya existen certificaciones que definen los conocimientos básicos de todo Jefe de Proyecto.
    La realidad del mercado nos dice que las empresas consultoras, de desarrollo y de integración tienden hacia dos perfiles para sus gestores de proyectos:
    • Perfil no especialista en tecnología: Su especialidad en la gestión del proyecto es la gestión de recursos, tiempos y gestionar al cliente.
    • Perfil especialista en tecnología: Su especialidad en la gestión del proyecto es entender la complejidad del entorno del cliente y del proyecto, entender las necesidades técnicas del cliente y transmitirlas correctamente al equipo.
    Cuando defino ambos perfiles, no significa que las especialidades de uno y de otro sean excluyentes y opuestas, pero como en toda línea de opuestos varía dependiendo del gestor.
    Y ahora hay que preguntarse: ¿Cual de los dos perfiles puede ser mejor Gestor de Proyectos?
    Desde mi punto de vista, el medio suele ser lo razonable. Pero como la perfección no siempre se puede tener, considero que una persona que está más cerca del especialista en tecnología será un gestor de proyecto más eficaz que un perfil no especialista. Muchos de los problemas que se suelen dar en los proyectos tecnológicos son de no entendimiento de las necesidades del cliente y su correspondiente traducción al ámbito tecnológico. Si esto no se realiza adecuadamente provoca en el cliente una sensación de falsas esperanzas.
    En el fondo, resulta mucho más fácil que un experto en tecnología aprenda y aplique de manera más rápida los conceptos de gestión de proyectos (que muchas veces son de sentido común) a que un experto gestor conozca el funcionamiento de la tecnología que aplica.
    Aquellos directores de proyecto que se sientan identificados con el perfil no especialista en tecnología, seguro que están pensando: "Bueno, pero yo para eso me llevo a las reuniones a la persona especialista que me ayuda en ese tema.". Y desde un punto de vista de eficiencia, ¿es aconsejable la utilización de dos recursos para algo que podría realizar uno con los conocimientos adecuados?
    En resumen, si eres cliente y ves que el Jefe de Proyecto no tiene mucha idea de la tecnología que va a implantar, planteate que tendrás que estar más tiempo encima de él para evitar malos entendidos entre tus necesidades y lo que se realiza en el proyecto.
    Seguro que alguno se está preguntando, pero ¿cómo voy a estar encima de él si yo tampoco entiendo mucho de lo que van a implantar? Bueno, como solución, en paises europeos se utiliza normalmente la figura del Jefe de Proyecto externo que sin pertener a la plantilla de la empresa cliente, gestiona desde un punto de vista tecnológico el proyecto que está ejecutando el proveedor, realizando el seguimiento, control y recomendaciones adecuadas para su implantación en el entorno del cliente. En españa todavía no se utiliza demasiado esta figura, aunque poco a poco se va incorporando a los proyectos.
    Quizás la frase que mejor define la gestión de cualquier proyecto, bien sea por parte del cliente o del proveedor es: "Más vale prevenir, que curar"

    viernes, 19 de febrero de 2010

    Comentarios Post-Jornada tecnología y ahorro

    Ayer se celebró la Jornada de Tecnología y Ahorro y desde IBERDAT no nos podemos sentir más que satisfactorio con como discurrió la jornada. Si bien la asistencia no fue la esperada, quizás el hacerlo en horario de mañana tuvo algo que ver, los asistentes participaron y se interesaron en los temas que se presentaron.
    La firma electrónica y la aplicación Ecofactura que se presentó tuvo gran interés para los asistentes lo que propició un pequeño debate sobre la incorporación de la firma a los procesos empresariales desde las PYMES a las grandes empresas.
    En general, hubo preguntas e interesantes comentarios por parte de los asistentes que hizo de la jornada algo provechoso para todos.
    Para recoger alguna de las críticas que nos han hecho llegar, aquellos que estén interesados en los datos de contacto de los ponentes, pueden enviar un correo electrónico a info@iberdat.com para recibir la información que soliciten.
    Las charlas y los ponentes fueron las siguientes:
    • Firma Electrónica: Ventajas y usos -> Ponente: Alberto Urquiza
    • Gestión de Identidades: Eficiencia interna -> Ponente: Jorge Garcés
    • Virtualización: Escritorio y Storage -> Ponente: Alfonso Gordillo
    Desde IBERDAT seguiremos trabajando en más jornadas que espero sean de interés de todos.

    lunes, 15 de febrero de 2010

    I Jornada de Tecnología y Ahorro

    En época de crisis, ¿las empresas deben gastar e invertir, o sin embargo deben ahorrar? En torno a esta preguna van a plantearse las charlas que se han preparado para la I Jornada de Tecnología y Ahorro.La jornada está organizada por el Sistema Riojano de Innovación, el Servicio Riojano de Empleo, el Centro Nacional de Formación en Nuevas Tecnologías (THINK TIC) e IBERDAT SECURITY. Los que ya nos conocéis, podéis estar seguros de que hemos preparado unas charlas amenas y sobre todo interesantes. Las charlas que se van a impartir son las siguientes:
    • Firma Electrónica: Ventajas y usos. -> La creación de un marco regulador en materia de firma electrónica está permitiendo un rápido desarrollo de la economía de la información y del conocimiento. La finalidad de la eFirma en la empresa es agilizar procesos, reducir costes, garantizar la seguridad de los trámites y convertir costosas gestiones en operaciones cómodas, sencillas y fiables.
    • Gestión de Identidades: Eficiencia Interna. -> ¿Qué es la gestión de identidades? ¿Es solo gestión de usuarios? La eficiencia en los procesos de administración de sistemas ahorra a la empresa gran cantidad de dinero. Conforme las empresas crecen, aumentan sus
      sistemas, personal y comunicaciones, pero no siempre se tiene en cuenta la mejora de los procesos que los administran. En definitiva, se dará un visión de qué es, hasta donde llega, el futuro y los beneficios obtenidos cuando se invierte en implementarla.
    • Virtualización: Escritorio y Storage. -> La unión entre Hardware y Software ha dado un vuelco. Se acabó la esclavitud de las máquinas. La virtualización ya es algo común en los servidores, pero ¿qué pasa con los equipos de escritorio? Veremos las ventajas de administración, seguridad, ahorro de energía y acceso remoto, entre otros, que tiene este tipo de virtualización.
    Espero que seán de vuestro interés y podamos vernos en las jornasdas. Sobre todo, nos permitirán abrir el debate sobre el ROI (Return on Investment - Retorno de inversión) que nos ofrecen estas tecnologías, así como la manera de abordar los proyectos de la manera más adecuada.

    jueves, 14 de enero de 2010

    Nuevo recurso sobre SGSI

    Este año los reyes magos han traido nuevos recursos informativos. INTECO, Instituto Nacional de Tecnologías de la Comunicación, (http://www.inteco.es/) ha habilitado un nuevo apartado de formación sobre SGSI (se puede acceder aquí).
    Dentro de la información de la que disponen, los videos explicativos son bastante interesantes.
    Esperemos que sigamos en esta línea con más temas y podamos disfrutar de más información de calidad.