AVISO: Nos hemos integrado con Facebook y Twitter. Ahora, podrás decir si te gusta o no uno de nuestros artículos con tu usuario de la red social. También podrás difundir los artículos que más te gusten a través de cualquier medio. Ayúdanos a que los artículos sean más interesantes dándonos tu opinión. Gracias.

sábado, 24 de diciembre de 2011

Felices Fiestas y Próspero 2012

Ya estamos llegando al final de este duro año y toca disfrutar un poco de la familia. Desde IBERDAT queremos desearos a todos unas Felices Fiestas y que el 2012, por encima de toda predicción de fin del mundo, nos traiga mucho trabajo y proyectos para todos. Y nosotros, además deseamos que seamos más conscientes de los riesgos tecnológicos en nuestras empresas y fomentemos la seguridad de la información.

Os dejamos hasta el próximo año con nuestra tarjeta navideña ...

jueves, 8 de diciembre de 2011

Plataformas de Facturación Electrónica: Un ejemplo de Cloud.

Llevo ya unas cuantas semanas con este tema rondándome la cabeza y aprovechando esta semana de "recogimiento", vamos a aprovechar para plasmar las ideas que me rondan. En un post anterior hablábamos sobre la firma digital y en qué consistía (ver aquí). En ese mismo post, comentábamos su uso en Facturación Electrónica y sus ventajas a la hora de ahorrar costes a las empresas. Bueno, un año después de escribir ese post, se puede decir que el uso de la facturación electrónica se ha proliferado entre las empresas y también han ploliferado las aplicaciones que permiten facturar electrónicamente.

Dentro de las empresas que quieren beneficiarse del uso de la facturación electrónica, tenemos la siguiente causística:
  • Empresas que no trabajan para la administración pública.
    Estas podrán adoptar o no la facturación digital dependiendo de su tipología de clientes y su madurez a la hora de introducir la facturación digital.
  • Empresas que trabajan con la administración pública.
    Estas tienen que adoptar la facturación digital utilizando el formato Facturae.
Pero, ¿qué es eso del formato Facturae? A efectos sencillos y sin meterme en demasiado detalle, el formato Facturae corresponde a una factura en formato XML firmada digitalmente. Para más detalles podéis acceder al portal de Facturae aquí.

Bien, pero se nos plantean nuevos dilemas dentro de las empresas. ¿Cómo podemos adoptar y afrontar el cambio a facturación electrónica? La respuesta, como en todo, no es única y depende del grado de madurez de la empresa. Vamos a intentar dar una respuesta más o menos personalizada para cada uno de ellos:
  • Empresas con Sistema ERP para contabilidad y facturación.
    La mejor opción que tienen es adquirir el módulo de facturación electrónica que el mismo ERP se habrá preocupado por realizar y tendrá ya disponible en el mercado. En caso de que no esté disponible o tenga un precio desorbitado, existen soluciones sencillas si el ERP es capaz de sacar la factura en formato PDF o XML.
  • Empresas con Sistema de Facturación Sencillo.
    Al igual que el anterior, si no existe módulo de facturación electrónica, me decantaría por las soluciones alternativas que después comentaré.
  • Empresas sin Sistema de Facturación o sistema ofimático.
    Existen programas gratuitos que le permitirán realizar estas tareas en los formatos que necesite. Existen desde plataformas online a aplicaciones de escritorio.
 He comentado que existen diversas posibilidades sencillas para aquellas empresas que no quieren desembolsar un coste excesivo. Entre ellas las tenemos de carácter comercial y gratuitas. Pasamos a enumerarlas:
  • Plataformas Online de facturación electrónica: De este tipo las tenemos de pago o patrocinadas por organismos públicos. Por ejemplo, en la Comunidad Autónoma de La Rioja se dispone de una plataforma de firma patrocinada por el ADER.
  • Aplicaciones de Facturación: En este caso, desde IBERDAT apostamos por una herramienta que permite, sin modificaciones profundas del software propio de la empresa, facilitar la transformación de facturas en formato XML o PDF en su versión firmada electrónicamente, automatizando incluso el envío por correo electrónico.
  • Herramientas Gratuitas: En internet disponemos de algunas herramientas que nos permiten firmar digitalmente ficheros PDF, por ejemplo, SINADURA, patrocinado por el Gobierno Vasco. O herramientas que nos permite utilizarlas para poder generar las facturas desde nuestro ordenador y después emitir en formato Facturae. Entre estas últimas está la iniciativa de la Diputación foral de Álava ef4ktur (ver aquí)
Y ahora viene el meollo de la cuestión y lo que muchos os estaréis preguntando, ¿qué es lo que me conviene? Como he comentado, depende un poco de la madurez de nuestra empresa, y también de lo que se valore la información contenida en nuestras facturas. Para IBERDAT seguimos pensando que cierto tipo de información nunca debe salir fuera de las dependencias empresariales. Por ese motivo, recomendamos implementar soluciones que permitan, desde las propias instalaciones de la empresa, dar la funcionalidad que buscamos.

Los defensores de las plataformas de facturación electrónica dirán que para que realizar esto si después se envía por correo electrónico las facturas y eso es inseguro. Que las plataformas proporcinan acceso online a través de HTTPS y que eso es mucho más seguro. Digamos que prefiero que alguien copie un factura del correo electrónico a que alguien piratee a mi proveedor de servicios de facturación electrónica y obtenga los datos de facturación totales de la empresa.

Si aún así queréis utilizar ese tipo de plataformas, al igual que con cualquier servicio en la Nube, solicitad el informe de auditoría de seguridad de la plataforma.

Después de esto, el que no implementa la facturación electrónica es porque no quiere ;-)

Buen puente para el que lo esté disfrutando y buen fin de semana para el resto.

martes, 13 de septiembre de 2011

La movilidad y la seguridad.

Ya llevamos dos años de andadura en este blog comentando distintos aspectos relacionados con la tecnología, la seguridad y otros menesteres. Llevamos un largo camino que espero haya servido a algunos que nos habéis encontrado. Hoy, tras las vacaciones veraniegas, comenzamos de nuevo la andadura con un tema que cada día va a generar más incidentes de seguridad. Nos referimos a la utilización de dispositivos móviles como Tablets y Smartphones.

Actualmente, en el mercado de este tipo de dispositivos, está habiendo una guerra por posicionarse en este mercado "emergente", teniendo varios tipos de Sistemas Operativos. Por un lado tenemos al innovador Apple con sus iPad e iPhone en sus distintas versiones. Por otro lado, tenemos a Google con su sistema Android usado por diversos fabricantes de Tablets, PDAs y Smartphones como HTC, Samsung o Sony. También tenemos que mencionar a otros actores en el mercado como son Blackberry o Microsoft, que si bien siempre hay que contar con ellos, no son actualmente los predominantes.

En este mercado convulso de luchas por patentes y clientes que compren en sus Stores de aplicaciones, nos centraremos en la plataforma Android. Nos centramos en ella por ser la plataforma multi-fabricante más extendida y la que permite "adaptar" su sistema operativo a los distintos dispositivos de una manera más abierta. Precisamente, esta apertura de código ha permitido también la aparición del mal temido malware y su divulgación a través del AppStore de Android.

Como respuesta a la aparición de este tipo de problemas en las SmartPhones y Tablets, las empresas preocupadas por la seguridad de la información, que sus empleados sacan de la empresa, tenían complicado aplicar medidas en el dispositivo. Hasta hace poco, la única solución era no permitir la salida de información en este tipo de dispositivos.

Pero, ¿qué podemos hacer ahora?. Desde IBERDAT venimos recomendando a nuestros clientes la adopción de software específico de seguridad para este tipo de dispositivos que las empresas, principalmente la de antivirus, ya han empezado a sacar al mercado. De hecho, el software para estos dispositivos no se limita solo a escanear en busca de virus, sino que ofrece toda una gama de funcionalidades como las siguientes:
  • Antirrobo: Evita el acceso no autorizado a los datos en caso de pérdida o robo del dispositivo.
  • Borrado remoto: Elimina todos los datos sensibles (contactos, mensajes y datos de la tarjeta de memoria) en caso de emergencia utilizando un simple comando por SMS. 
  • Comprobación de la tarjeta SIM: Permite a las tarjetas SIM especificadas recibir notificaciones en caso de que se inserte una tarjeta no autorizada. Esto incluye a la tarjeta asignada al número de teléfono, IMSI e IMEI. 
  • Protección por contraseña: Protege a los dispositivos móviles contra desinstalaciones no autorizadas o modificaciones del software de seguridad. 
  • Auditoría de seguridad: Avisa al usuario del estado de seguridad del dispositivo de una forma fácil y precisa, exista o no un riesgo de seguridad.  
  • Cortafuegos: Revisa todo el tráfico entrante y saliente basándose en reglas personalizadas. 
  • Protección proactiva: Detectan y limpian códigos maliciosos conocidos y desconocidos.
  • Mínimo impacto en el sistema: Aproximadamente 400 KB una vez instalado y 1 MB de RAM usado mientras realiza un análisis.
  • Antispam SMS y MMS: Permite al usuario definir contactos no deseados, establecer listas blancas y negras o simplemente bloquear números desconocidos. 
  • Cuarentena: Esta opción permite eliminar amenazas directamente o aislarlas, con la posibilidad de restaurar los archivos infectados. 
  • Amplias posibilidades de análisis: Permite analizar y limpiar de forma integral la memoria del dispositivo así como las tarjetas de memoria. También es posible revisar los procesos que se ejecutan en la memoria. Todos los archivos entrantes o salientes por medio de conexiones inalámbricas son analizados en búsqueda de amenazas. 
  • Actualización automática de la base de firmas de virus: Proporciona protección contra las amenazas más recientes para dispositivos móviles. El usuario puede programar la recepción de amenazas de manera diaria, semanal o mensual.
Como podemos comprobar, la empresa que sufra de un ataque a través de los Smartphones no será porque no tiene medios para mitigar el riesgo. Si estáis interesados, solo necesitáis poneros en contacto con nosotros y os informaremos más detalladamente.

lunes, 4 de julio de 2011

Cloud y datos.

Sin lugar a dudas, como ya comentamos en el post de Análisis de seguridad en Cloud Computing, la nube se ha puesto de moda y ya es una realidad en la mayoría de las empresas. Desde IBERDAT siempre nos hemos resistido a recomendar el uso de la nube, a pesar de las ventajas que tiene. Quizás porque seguimos pensando que sacar cierta información sensible fuera de la empresa no es una buena idea.

Hoy, revisando un poco las noticias de la semana (ver la siguiente aquí), hemos visto una que nos ha puesto los pelos de punta. El gobierno americano, podrá acceder a la información almacenada en la nube sin consentimiento alguno y sin notificarlo al propietario de la információn. Según lo que se comenta en el artículo, la ley patriota de estados unidos, está por encima de las leyes de privacidad de la unión europea. ¿Qué significa esto? Pues que en caso de necesidad, el Gobierno de EEUU podrá acceder a las nubes gestionadas por empresas afincadas allí. Y seguro que la mayoría estará pensando, pero, ¿qué les importará mis datos?¿Si mis datos no tienen valor?

Bueno, en la época actual, la información, es decir, los datos, son la base de la economía. Con una buena información, puedes mejorar tus beneficios, asegurar más las adquisiciones de empresas, o adelantarse a la competencia. Incluso con la información apartentemente más innocua se puede realizar perfiles empresariales y monitorizar los movimientos en cuanto a correos electrónicos de la empresa o asientos contables o lo que se guarde en la nube.

En conclusión, si se utiliza la nube, tened en cuenta si el proveedor está afincado en EEUU, y en cualquier caso, nunca externalicéis fuera de la empresa información que sea sensible. Si no sabéis que información es sensible o no, antes de externalizar, realizad un proyecto de Clasificación de la Información.

domingo, 26 de junio de 2011

Conclusiones Rioj@Party 2011

Tras una semana desde la Rioj@Party, podemos decir que la participación de los asistentes en los talleres, conferencias y demás actos ha sido todo un éxito. La organización estuvo en todo momento pendiente de ofrecer el mejor de los servicios tanto a los asistentes, como a los que íbamos a dar algún taller.

Respecto al taller de Hacking Web, como no era de esperar, nos supo a todos muy corto. Sabíamos que en una hora y media era poquito tiempo para asentar conocimientos o para participar más, pero no se disponía de mucho más tiempo. Sin embargo, todos los asistentes se debanaron la cabeza con las pruebas puestas y participaron en el taller, haciendo de este un taller para el profesor una agradable experiencia. Desde IBERDAT queremos agradecer a todos los asistentes su participación e interés.

Y como lo prometido es deuda, muchos de los asistentes nos solicitaron la presentación del taller para que pudiesen ver en más profundidad los conocimientos expuestos. Bueno, los interesados, solo deben clickar en el siguiente enlace.

Aparte del taller, IBERDAT también participó en la mesa redonda sobre los Gestores de Contenidos. Lo que al pricipio podía parecer una mesa aburrida, acabó siendo un entretenido debate que nos llevó casi más de dos horas. La mesa estaba programada con una sola hora, pero los debates fueron muy interesantes. Los participantes de la mesa, de gran experiencia en gestión, instalación y mantenimiento de CMS, aportaron conceptos e ideas muy enriquecedores.

Creo, que este tipo de mesas de debate, son muy enriquecedores para el público en general y que su preparación y dibulgación debería ser de una modo más asiduo. 

Y para acabar, de nuevo agradecer a organización, participantes, compañeros de mesa y amigos que fueron a visitarnos, el apoyo recibido. Esperemos que podamos vernos en la futura Rioj@Party 2012 ;-)

jueves, 16 de junio de 2011

IBERDAT participará en la RIOJ@PARTY 2011

Este año se vuelve a celebrar en Haro la Rioj@Party. Este evento es un encuentro para todos aquellos amantes de la Informática, los videojuegos o, simplemente, para aquellos que quieren disfrutar de un fin de semana muy intenso.

Dentro de este evento, podéis acceder a la página web aquí, se celebrarán este año una serie de actividades en las que IBERDAT tendrá parte activa. Comenzaremos el propio viernes a las 17:30 de la tarde con un taller de Hacking web. Este taller intentará picar el gusanillo de aquellas personas con algunos conocimientos de informática que se quieren adentrar un poco en el hacking de páginas web. Más información aquí.

Posteriormente, el sábado sobre las 19:30, participaremos en una mesa redonda sobre Gestores de Contenidos. Desde IBERDAT intentaremos dar nuestra visión de seguridad de estos gestores, e intentaremos aportar nuestro conocimiento de seguridad a la mesa. Seguro que será muy interesante.

El horario de las actividades lo podéis visualizar en el siguiente link.

Os esperamos en la RIOJ@PARTY.... No faltéis....

jueves, 7 de abril de 2011

Continuidad de negocio: ¿estamos preparados?

Leyendo las noticias que hay por el mundo, hemos visto una noticia muy curiosa que, aunque sorprendente, no deja de ser inquietante. Lo noticia se titula: "Detenida una mujer de 75 años tras dejar a Armenia sin conexión a Internet" (Puedes leer la noticia aquí). Con ese título, lógicamente ha llamado nuestra atención. El suceso es de lo más anecdótico, pero nos va a dar pie a comentar un punto que consideramos importante dentro de la seguridad: La continuidad de negocio.

Actualmente, la pérdida de conexión a Internet de nuestras empresas, puede suponer perdidas en ocasiones millonarias. Sin embargo, poco nos preocupamos por prever  los riesgos asociados a la continuidad de nuestros negocios. Entramos en el mundo de la consultoría, de los riesgos, de las métricas y de las suposiciones. Está claro que no se puede predecir cuando puede suceder un terremoto o un incendio o que una mujer de 75 años pueda robar los cables de cobre de conexión a Internet de un país, pero si podemos preparar a nuestras empresas para saber que debe hacer ante contingencias comunes para poder seguir produciendo. 

Mejorar la capacidad de adaptarse a situaciones límite, denominado también resiliencia, es lo que se intenta con los proyectos de continuidad de negocio. Pero, muchos se estarán diciendo que solo las empresas medias grandes pueden afrontar estos proyectos. Nada más lejos de la realidad. Las Pymes ya de por sí tienen la característica que les hace ser más flexibles a la hora de adaptarse al mercado. Al disponer de menos burocracia, hace que sus adaptaciones a los requerimientos del mercado sea mejor.

Sin embargo, en caso de inconvenientes las Pymes están menos preparadas para afrontar su continuidad de negocio. En este punto es donde estas deben mejorar y donde pueden sacar un valor añadido de cara a los clientes ya que serán capaces de darles un servicio donde otras empresas no podrán. En situaciones límite, es donde se comprueba que empresas están preparadas y cuales no.

Pero, ¿cómo afrontar este tipo de proyectos?. Como hemos comentado en otras ocasiones, uno de los primeros puntos que la empresa debe realizar es un análisis de riesgos para identificar cuales son los puntos críticos de nuestro negocio. Una vez identificados y priorizados, se definirán una serie de medidas o proyectos para poder mitigar los riesgos, así como elaborar una serie de procedimientos que deban ser seguidos en caso de ser necesarios.
Proyectos como teletrabajo, conectividad remota, backups online, servicios en la nube, redundancia en las comunicaciones, etc. son proyectos a tener en cuenta de acuerdo al análisis de riesgos que se efectúe. Como comentaba un profesor que tuve en la juventud: "Debéis hacer vuestros deberes, porque sino después vendrán los llantos y los lloros".

miércoles, 16 de marzo de 2011

Fallo en APIs de Facebook dejan a cientos de web sin integraciones.

Ayer a las 15:00 horas se detectó un error generalizado en todas las web que tenían integrados en sus páginas los plugins sociales de Facebook como el "Like-button" o el "Like-box" en sus versiones de código por XFBML.

Si bien ambos plugins pueden seguir funcionando en su forma iframe, los trastornos provocados en las páginas donde han sido instalados ha sido enorme. Un día después, todavía no existe solución oficial al bug, con lo que los administradores web tendrán que tomar una decisión en breve de cambiar todas las implementaciones XFBML a Iframe para evitarse problemas.

En el siguiente link (pincha aquí) se puede seguir el desarrollo de la incidencia. Esperemos que Facebook trabaje suficientemente rápido para que todo vuelva a la normalidad.

viernes, 11 de marzo de 2011

Análisis de seguridad en Cloud Computing

Ya estamos al final de la semana y no podíamos dejarla sin tener algo de lectura para el fin de semana. Hoy viernes, Inteco (http://www.inteco.es) ha publicado un informe sobre los riesgos y amenazas que afectan al Cloud Computing según algunas organizaciones como NIST (http://www.nist.gov), CSA (Cloud Security Alliance - http://www.cloudsecurityalliance.org) y la consultora Gartner (http://www.gartner.com). El citado informe recoge las amenazas detectadas por estas organizaciones como punto base de partida para saber como y de que manera moverse por el Cloud Computing. El informe puede ser accedido a través de este enlace.

En una primera parte del informe, y para aquellos que no estén familiarizados con lo que es el Cloud Computing, se realiza una descripción de las opciones básicas de tipos de infraestructuras Cloud, así como la descripción de los servicios que podemos implementar en estas infraestructuras. Para aquellos que estáis dando vuestros primeros pasos por el mundo Cloud, un buen punto de referencia.

Como nuevo paradigma en la sociedad de la información, el Cloud Computing es una tendencia, bueno una realidad a estas alturas, que nos proporciona una serie de ventajas de eficiencia de recursos y costes considerables. Si bien, esto debería ser más que suficiente para muchos, no hay que olvidar que las infraestructuras empresariales montadas en estos entornos también son sensibles a nuevos riesgos de seguridad que cuando eran controladas por la propia empresa en sus infraestructuras no sucedía.

Aquellos que estéis pensando en montar servicios en la nube o delegar ciertas infraestructuras en la nube, leed el informe con atención y poned en práctica las recomendaciones que aparecen. Si bien, la mayoría son de sentido común, muchas veces el tenerlas recogidas hace que ninguna se pierda.

Que tengáis un buen fin de semana.

sábado, 5 de marzo de 2011

Windows y el Autorun.

Uno de los mecanismos de propagación de malware preferido en la última década ha sido la propagación a través de medios portátiles que van de ordenador a ordenador. Los USB, los CD o los DVD, cogieron el relevo a los disquetes de la época de los 90.

Los sistemas Windows tenían una funcionalidad muy controvertida que permitía ejecutar un sofware nada más enchufar el dispositivo a un ordenador. A través de un fichero de texto autorun.inf, se podía configurar que ejecutable debía correr nada más enchufar el dispositivo. Esto permitía a los virus, copiar el ejecutable en un medio estraible y configurar un archivo autorun.inf para que fuese lo primero en arrancar una vez insertado el medio en un nuevo ordenador.

Dada la polémica que despertó entre la comunidad de expertos en seguridad y con el desarrollo y expansión de estos medios extraibles, hasta el 2008 Microsoft no implementó mecanismos para poder deshabilitar esta funcionalidad. Después de la salida de Windows7 que ya tiene esta funcionalidad deshabilitada por defecto, hemos tenído que esperar hasta marzo de 2011 para Microsoft publique un parche que deshabilita la función en todas las versiones de windows.

Al final, en la eterna lucha entre funcionalidad y seguridad, se ha decantado la balanza a favor de la seguridad. Aunque por el camino, se ha sufrido multitud de malware que podría haberse evitado su propagación.

Esto nos debe llevar a reflexionar sobre la importancia de incluir un análisis de seguridad en el desarrollo de todo nuevo software y, sobre todo, ponderar adecuadamente los riesgos que este análisis pueda llegar a encontrar.

viernes, 18 de febrero de 2011

Gestión de Identidades: Enfoques

A pesar de ser una de mis especialidades, me he resistido hasta ahora a hacer un post al respecto. Y, ¿por qué hoy me animo a ello? Será por la noticia que he leido en CSO Spain (Ver aquí) sobre el enfoque que se da desde las empresas a los proyectos de Gestión de Identidades (IAM - Identity Access Manager).

Creo que, antes de empezar a disertar sobre como se debe enfocar este tipo de proyectos, sería conveniente que diese un pequeño repaso a los conceptos básicos sobre Gestión de Identidades. Primero de todo, debemos saber qué es una identidad. Si estuviesemos hablando de un solo ordenador (por ejemplo, el que tenemos en nuestras casas) la identidad sería el usuario que utilizamos para identificarnos en el sistema, el cual se relaciona con nosotros (asumiendo que ese usuario solo lo utilizamos nosotros, claro). Pero el concepto de identidad se complica un poco más cuando estamos hablando de un entorno empresarial con decenas de sistemas, aplicaciones, etc. En estos entornos la identidad es un aspecto más abstracto y es precisamente en ese concepto en el que se centra los proyectos IAM. Al fin y al cabo, un usuario sigue siendo la misma persona, independientemente de las credenciales con las que acceda a estos sistemas o aplicaciones.

Aparte del concepto de Identidad, debemos tener en cuenta cuales son los procesos en los que se enfoca todo proyecto de Gestión de Identidades. Los procesos involucrados son:
  • Autentificación de los usuarios.
  • Autorización y permisos (Control de Accesos).
  • Gestión de Usuarios
  • Repositorio centralizado de usuarios.
En mayor o menor medida, un proyecto de Gestión de Identidades debe dar una solución a cada uno de estos procesos mejorando la gestión y reduciendo costes de administración, y mejorando la experiencia del usuario en el acceso a los sistemas y aplicaciones.

Bueno, por ahora, tenemos un pequeño esbozo de en qué consiste este tipo de proyectos. Pero como hemos comentado al principio, hay dos posibles enfoques a la hora de abordar este tipo de proyectos:
  1. Enfoque tecnológico
  2. Enfoque consultivo+tecnológico
El primer enfoque es el adoptado normalmente por los departamentos de TI. Estos departamentos están en constante contacto con la tecnología y abordan este tipo de proyectos como una mejora de sus procedimientos de gestión, intentando conseguir eficiencia y eficacia en sus procesos. Según el artículo comentado arriba, entre la mitad y dos terceras partes de las empresas adoptan este tipo de enfoque.

Por mi experiencia en este tipo de proyectos, aconsejaría que cualquier proyecto iniciado con este enfoque, fuese inmediatamente parado porque va abocado al fracaso de la implementación del proyecto. Como persona técnica que soy, entiendo las motivaciones para llevar este tipo de enfoque, pero tras pasar tantos años entendiendo esta problemática, llegué a la conclusión que sin involucrar a la parte de negocio de la empresa, estos proyectos se quedan en agua de borrajas.

Aquí entramos en el segundo tipo de enfoque, en el que lo primero que se realiza es una consultoría que define un marco de referencia en gestión de identidades, donde se analizan los procedimientos de gestión desde RRHH, a Negocio, u otros departamentos involucrados. Una vez realizada esta consultoría, la implementación de un sistema de gestión de identidades tiene las garantías suficientes de que toda la empresa está alineada con las políticas definidas en la gestión y su implementación será una cuestión "trivial". Pongo trivial, porque este tipo de sistemas son horizontales a la empresa y eso significa que nunca es fácil su implementación. Aunque más difícil sería si encima, no estuvieramos alineados con cada departamento responsable de los sistemas/aplicaciones.

Aunque parezca que lo comentado ahora solo se aplica a las grandes empresas, este tipo de proyectos se adaptan al tamaño de la organización y al número de sistemas que se tiene. Estos proyectos son tanto más costosos cuanto más se tarde en abordarlos en una empresa.

Por último, creo que es conveniente comentar que en la actualidad ya existen muchas soluciones tecnológicas  en el mercado que cubren la totalidad de las problemáticas que nos podemos encontrar en este tipo de proyectos y que solamente tendremos que escoger la adecuada para nuestro entorno, coste y futuras ampliaciones.

lunes, 31 de enero de 2011

La importancia de la información.

Muchas veces como usuarios de Internet no tenemos muy presente la importancia de la información que vamos introduciendo en redes sociales y otros foros. Siempre tenemos en mente la frase de: "No somos tan importantes como para que nadie se interese en nosotros, y aunque lo haga, no tengo información valiosa.". Eso debieron pensar las 172 mujeres que fueron presuntamente acosadas por George Bronk, un joven de 23 años que consiguió las contraseñas de correo de sus víctimas gracias a la información que estas ponían en las redes sociales (ver noticia aquí).

El "modus operandi" de este ciber acosador consistía en hacer un seguimiento de sus víctimas a través de Facebook, con los mensajes que publicaban, fotos, etc. Con esa información, intentaba responder a las preguntas de restauración de las cuentas de correo de sus víctimas. De esta manera, accedía a su cuenta de correo y se apoderaba de la información y fotos comprometidas para hacer chantage a sus víctimas.

Sin entrar en demasiada profundidad en este caso en concreto, podemos sacar dos conclusiones principales de este caso y que seguro que ayudará a más de uno a preguntarse si está haciendo las cosas de la manera correcta:
  1. Tan importante para la seguridad es la contraseña que ponemos en nuestras cuentas, como la información que utilizamos para poder utilizar los mecanismos de recuperación de contraseña.
  2. Debemos tener mucho cuidado con la información que hacemos pública en las redes sociales ya que puede dar acceso a otros servicios que utilizamos en Internet.
Usuarios domésticos, empleados, directivos, etc., todos somos posibles víctimas de una diversidad de ataques en Internet que, si bien, no siempre ocurren, cuando ocurren nos arrepentimos siempre de no aplicar una medidas básicas de seguridad que no suponen grandes esfuerzos pero que sin embargo puede reducir el riesgo de sufrirlos en gran medida.

Acordémonos de la frase que la seguridad de un sistema se puede cuantificar midiendo la seguridad de cada uno de los eslabones que comprenden ese sistema. De este modo, el sistema tendrá el nivel de seguridad que tenga su eslabón más débil.

martes, 25 de enero de 2011

Aplicaciones en Redes Sociales

A estas alturas, es un hecho que las redes sociales son el nuevo método de comunicación social a gran escala. Según algunas predicciones, es posible que las empresas acaben usando las redes sociales como herramienta de comunicación empresarial. Se vuelve a ampliar los límites en los que la empresa puede tener el control de la información que se publica o se deja de publicar.

En esta ocasión, me gustaría centrar el foco en ciertos elementos satélites a las redes sociales que están provocando en los últimos tiempos, los principales problemas de robo de información, Spam, etc. Actualmente, en Facebook las aplicaciones conviven con los usuarios en mayor o menor medida. Hay juegos, aplicaciones útiles, otras divertidas, y algunas que lo único que desean es recoger toda la información posible para después utilizar los datos personales de forma fraudulenta.

Está claro que en la red social, se han implementado algunas medidas para evitar que una aplicación se instale sin consentimiento del usuario, o acceda a información que el usuario no quiere dar. Pero, ¿hasta que punto, para dar funcionalidad, una aplicación debe acceder a datos personales de los usuarios para ofrecer su funcionalidad?

Se puede llegar a entender que se accedan a datos como el "nick" que el usuario elije para su perfil. Pero otros datos, aunque se pida confirmación al usuario, no deberían ofrecerse para protección de los usuarios de la Red. Son ya muchas las aplicaciones fraudulentas que para su funcionamiento piden acceso a toda la información posible, desde los datos personales, al histórico de mensajes en la red social, o la posibilidad de publicar mensajes sin permiso posterior del usuario.

En general, yo aconsejaría que cualquier aplicación que te pida publicar mensajes directamente sin confirmación, no la dejaría acceder a mi perfil. Asimismo, aquellas que te piden acceso por defecto a todo, deberíamos preguntarnos si realmente es necesario todo ese acceso, o si la funcionalidad merece la pena.

Como ya hemos comentado en otras ocasiones, las nuevas tendencias, formas de comunicación o nueva tecnología, hace que desde el punto de vista de seguridad nos tengamos que adaptar y actualizar. Al final, el principal eslabón débil en la cadena de seguridad es el usuario y nos toca aprender a todos mejores hábitos en el mantenimiento de nuestra seguridad.