Uso del Change Manager para Auditoría de Bases de Datos

La auditoría de Bases de Datos es una etapa importantísima del control interno y básica para mantener la seguridad de la información en la empresa.

A continuación voy a explicar parte del proceso más popular de hacerlo y el porqué del mismo.

En la mayoría de las empresas tenemos por lo menos 2 ambientes de base de datos: Desarrollo y Producción (en algunos casos se mantiene un tercer ambiente llamado pruebas).

El ambiente de producción es el ambiente estable y comprobado en el que se basa nuestro sistema y en el que dependemos para nuestras operaciones día a día.

El ambiente de desarrollo es el ambiente donde haremos los cambios que evolucionaran nuestro ambiente de producción.

Cada vez que se decide hacer una serie de cambios al ambiente de producción debido ya sea a nuevos procesos o evolución de funciones, éste debe de hacerse y probarse en el ambiente de desarrollo; una vez probado y refinado se puede considerar la implementación al ambiente de producción.

En los ambientes de bases de datos, tanto como en el ambiente de desarrollo de aplicaciones, no existe una estructura inmaculada y la base de datos puede cambiar varias veces por lo que una cultura de versionamiento es altamente recomendada.

Este proceso hace que la tarea de transformar exactamente la versión del ambiente de desarrollo a producción sea invaluable.

Esta explicación modela la primera circunstancia en la que el Change Manager de Embarcadero demuestra su utilidad para la empresa y para el ahorro de tiempo de los DBA.

El Change Manager compone 5 tareas básicas:

1.       El versionamiento de la configuración del motor de base de datos: ésta tarea nos permitirá guardar un documento con los valores del motor, tamaño de buffer, variables de sistema y demás.

2.       El versionamiento de los esquemas de la base de datos: ésta tarea nos permite respaldar la estructura de las tablas que le permitamos, así como el sql para reconstruirla desde cero.

3.       La comparación de la configuración del motor ya sea entre dos servidores en vivo o con un respaldo hecho con el change manager, lo cual nos permite ver las diferencias asi como el DDL necesario para transformar la versión destino a una copia perfecta de la versión fuente.

4.       La comparación entre esquemas de bases de datos ya sea en vivo o contra un archivo de versión hecho en Change Manager, éste proceso crea un informe de todas las diferencias y la codificación sql para implementar las diferencias e igualar los esquemas.

5.       La comparación de datos entre tablas idénticas en servidores en vivo diferentes, ahora ésta funcionalidad no solo permite la comparación, sino que también permite la sobreescritura de los datos y su enmascaramiento.

El enmascaramiento de los datos es una herramienta moderna para problemas modernos, en una sociedad empresarial con cada vez más costos, el uso de terceros para el desarrollo de nuevos procesos es imperativo, asimismo la protección de los datos, así que aunque nuestros desarrolladores requieren de una carga de datos similar a la de producción no necesariamente significa que le demos los datos exactos de nuestra BD, asi que podemos ocultar los datos que sean críticos de negocio y ofuscar los otros en los que su análisis pueda ser contraproducente, dando así una base de datos de desarrollo la cual sólo representa la cantidad de datos sin mostrar una imagen exacta de los movimientos en producción.

La ingenuidad y utilidad de una herramienta que hace bien su trabajo son las ventajas competitivas que ofrece el Change Manager de Embarcadero y recomiendo efectivamente su prueba para éste tipo de tareas en su empresa.

Ideas para la auditoría de Sistemas

La auditoría de sistemas es un tema que puede llegar a ser complejo en la empresa, como todo tópico tiende a ser abordado desde distintos puntos de vista y no deja de ser válido el aspecto técnico contra el aspecto administrativo.

Desde el aspecto administrativo se esperan tener números que demuestren la efectividad de las reglas tomadas y de los ahorros conseguidos.

El aspecto técnico implica la rapidez de las tareas y los ahorros de tiempo para permitir el hacer otras tareas.

Los gerentes esperan de sus jefes técnicos la generación de simulaciones con lo que costaría en tiempo vs dinero invertido vs posible impacto para asegurar la necesidad de fondos para sus actividades, es parte de su set de conocimientos y necesidades.

Para los Jefes Técnicos es implícita esa necesidad y es difícil el concepto de generar aún mas trabajo para las actividades críticas del negocio.

Los dos lados de la moneda son difíciles de conciliar pero no imposible, varias instituciones han diseñado modelos de gobernabilidad de TI basados en las diferencias de conceptualización, convirtiendo tareas criticas en métricas medibles.

Para una persona técnica a veces es complicado el convertir las posibilidades de desastre en algo cuantificable, tan sólo la pérdida o corrupcion de datos parcial implica una investigación costosa y una posible pérdida monetaria y de confianza.

La comparación de cambios, el seguimiento, la responsabilidad documentada  y una adecuada política de proceso ayuda a reducir la posibilidad de factores impredecibles, por otro lado permite una rápida recuperación ante accidentes.

Es importante para todos los responsables en una empresa  el involucrarse y tratar tanto de comprender a sus colegas como el facilitar la comprensión de sus responsabilidades para mejorar la eficacia de los procesos en la empresa.

Actualidad 101 o como nuestros datos se interconectaron

Actualidad 101 o como nuestros datos se interconectaron

Hace tan solo 20 años la mayoría de nuestros datos (por lo menos en América Latina) eran compilados en papel y almacenados en archivos (cajas físicas) de metal, los procesos para tener acceso a esa información estaba diseñado como todo en esa época en acceso físico, asimismo las personas que entraron en esa época a trabajar fueron entrenados con esa mentalidad.

Poco a poco, conforme las computadoras fueron convirtiéndose en las herramientas que son hoy en día,  la información fue transfiriéndose a archivos digitales, pero no se conectaban a las computadoras entre sí, de manera que mantenían un estatus similar al archivo físico en cuanto a que se necesitaba acceso a la máquina específica que contenía los datos y generalmente se imprimían ya que no había otro proceso diseñado para utilizarlos más que en su forma física.

Ahora las computadoras y oficinas están interconectadas, y además de entre ellas, la mayoría está también conectada a la autopista de la información: Internet.

Lamentablemente un hecho olvidado por el personal entrenado en la época donde no existía ésta interconexión es el hecho de que internet es una autopista de dos vías.

Ventajas de la interconexión

La interconexión con internet presenta una forma barata y comparativamente eficiente de enviar archivos y mensajes a colegas en otras partes del mundo.

Acelera el intercambio de información permitiéndonos ser más eficientes y tomar decisiones informadas en un lapso de tiempo menor.

Nos permite consultar más fuentes de contenido y hacer investigaciones más profundas en menor tiempo.

Desventajas de la interconexión

Es más difícil mantener la privacidad de los datos que utilizamos día a día, existen cientos de personas en el mundo que hacen de su trabajo el investigar sobre personas y empresas buscando la manera de acceder a los datos privados, la seguridad ya no se limita a poner un guarda o colocar cámaras, éstas conexiones son invisibles y necesitan aparatos de análisis de conexión y cortafuegos (firewalls) para detener a éstas personas y proteger los datos.

Como se conectan éstas personas a mis datos, la computadora del trabajo y/o al servidor de almacenamiento?

La respuesta es simple y concisa, de la misma manera en que usted lo hace!

Las personas que intentan éste tipo de operaciones tienden a ser gente con gran conocimiento técnico y acceso parcial o total al ambiente de alguna manera, sea física o digital.

Se empieza por analizar a la empresa ya sea de manera remota: utilizando programas de análisis de vulnerabilidades o colocando programas de análisis de tráfico. O de manera física: haciendo ingeniería social, colocando aparatos de bitácora de teclas (keylogers), analizando el contenido de los cubículos (claves escritas en papel, fotografías y demás).

La meta es lograr algún nivel de acceso a los archivos de la compañía y determinar si tienen algún tipo de valor monetario para alguien y ofrecerlo al mejor postor.

Es responsabilidad de cada persona de seguir los comportamientos de seguridad recomendados para evitar el robo de información en la empresa o en su hogar.

Conceptos administrativos de la gestión de seguridad en la empresa

Desde el punto de vista de seguridad de la información hay muchos conceptos que pueden sonar conflictivos y confusos al compararse con sus contrapartes y que dependen del contexto de la arquitectura de servicios implementada.

Una infraestructura bien definida es dividida en capas para controlar el acceso tanto interno a información privilegiada como externo a la red entrante y saliente, esto se hace para delimitar la cantidad de puntos críticos que permitan el acceso. La idea es simple, hay que mantener el servicio sin abrir demasiados nodos, muchas empresas utilizan clusters como gateways de salida para que aunque son reconocidos como un solo servidor en caso de que falle cuenta con un respaldo que tiene su misma configuración.

¿Qué tiene esto que ver con la gestión de la seguridad?

Uno de los aspectos más importantes de la gestión es el llamado “Inventario de activos”, el cual identifica la configuración, nivel de parches, software instalado, función, nombre del nodo y demás detalles relevantes. Este documento es la guía para todo lo que hay que actualizar en la infraestructura tecnológica y es compuesto por varios procesos:

Inventario Físico: es la toma física de recursos, ejemplo: el registro de servidores, monitores y demás activos físicos de la empresa asimismo comprende la configuración de cableado utilizado.

Inventario lógico: es el registro de las funciones de cada nodo y la configuración recomendada así como el nivel de parche recomendado.

Auditoría de vulnerabilidad: se utilizan herramientas de ataque de penetración para comprobar vulnerabilidades conocidas y sus arreglos

¿Por qué agrego la auditoría de vulnerabilidad entre los procesos que componen el Inventario de Activos?

Todos los días se descubren nuevas vulnerabilidades a los sistemas más utilizados comúnmente denominadas como “0-day”, estas vulnerabilidades son publicadas y no se limitan a los sistemas operativos, pueden afectar a gestores de contenido como Joomla y Wordpress, incluso el firmware de ciertos firewalls.

La auditoría de vulnerabilidad es un proceso que debe hacerse periódicamente para evitar que una de estas vulnerabilidades descubiertas sea utilizada por algún operador malicioso y cerrar cualquier agujero.

De identificarse una situación donde un ataque constante o focalizado es importante implementar un protocolo de auditoría de vulnerabilidades enfocándose en las vulnerabilidades atacadas, es importante garantizar la impermeabilidad en contra de éstos ataques y la seguridad de la información de la empresa.

Es extremadamente importante mantenerse al día con la protección que le damos a nuestra empresa y una infraestructura adecuada es la mejor manera de hacerlo de manera eficiente.

Ley de protección de datos personales en Costa Rica

La ley de protección de la información de Costa Rica es una ley bastante completa que se nota fue desarrollada a partir de los principios de seguridad de la información.

Aunque la ley demuestra bastante madurez, las personas siguen incumpliendo sus estatutos, siguen dándose casos de robo de información, publicación indebida de información privada sea ésta en forma de información escrita o imágenes.

Básicamente muchos de éstos casos se dan por la ilusión de anonimidad que dan los medios digitales, el principio de que se puede hacer lo que se quiera siempre y cuando no sea descubierto haciéndolo, está muy arraigado y podría decirse que hasta está institucionalizado.

Vemos éste comportamiento a todo nivel debido principalmente al alto costo que implica un proceso judicial                 contra la compensación real obtenible, la necesidad de utilizar un abogado y pagar por el desde que empieza el proceso, la duración del mismo y los métodos de pago utilizados son elementos que no incentivan la búsqueda de justicia utilizando los métodos convencionales.

Asimismo existe una desconfianza en los métodos de investigación de casos de robo de información debido al alto nivel de sofisticación de los mismos y a que muchas veces dependen de que el responsable confiese públicamente su participación ya sea a propósito o inadvertidamente, la demostración del responsable del acto criminal es difícil y costosa tanto en tiempo como financieramente.

La poca preocupación de las personas por la seguridad de su información hace de la determinación del responsable del robo una tarea poco menos que imposible, el uso de tarjetas de memoria sin encriptar y el descuido con aparatos facilitan la tarea de los delincuentes tanto profesionales como ocasionales.

 La internet es una sub-sociedad basada en demostraciones gráficas de osadía y atrevimiento, los actos que desafían las leyes y la seguridad propia y ajena tanto física como la de su reputación, no es secreto que hay un grupo de personas que se ganan la vida tomando fotografías de las personas y violando su intimidad.

Es imperativo crear una cultura basada en la seguridad, que inste al ciudadano común en las costumbres que harían más difícil el robo de información y por ende les daría una mejor posición en contra de éstos delincuentes.

La cultura a crear debe tomar por ejemplo comportamientos como los siguientes:

·         El uso de programas de encripción en nuestros sistemas de almacenamiento de datos

·         Usar claves de acceso para el uso normal de nuestros aparatos, asimismo el registro de los mismos e inutilización en caso de robo

·         El uso de certificados de seguridad en nuestras comunicaciones para evitar la lectura no autorizada.

El depender de la ley para evitar nuestra responsabilidad solo aumenta el problema, nuestras leyes presentan el mismo fenómeno que nuestra sociedad, somos excelentes en el planteo de la solución pero tenemos problemas de ejecución que debemos enfrentar.

La seguridad de nuestra información es nuestra responsabilidad y no podemos dejársela a un tercero.

Humans in Information Security

People have a lot of prejudices when trying to identify the different roles in Information Security for the different position scales in the companies, it is easy to oversimplify the responsibility levels as it is human behavior.

Everybody knows the different issues of IS in any company, actually companies and media has even blown them out of proportion sometimes, it has to do with a combination of creativity and common sense where everything begins:

A typical modern company has the following macro divisions on their workforce:

·         End Users

·         Information Security Officers

·         Top Executives

End users

End users take the brunt of the decisions of both ISO’s and TE’s and are mostly dubbed as the “enemies” of the ISO’s… there is nothing farther from the truth as the people who knows most about the micro management of the company is the End Users!!

They are the people who faces day by day the challenges and attempts of hundreds of wannabe small time criminals who want to obtain information or any kind of advantage from our company.

End Users are our first and best line of defense against information criminals and they deserve the support and training from the Information Officers and Top Executives.

ISO’s have to explain carefully the role of the EU’s in the security strategy, in this task it is imperative to keep the explanation in a mildly-technical manner, and this speech has to be simple, to the point and focused in their role, humans tend to lose focus in topics which are perceived as outside their area of expertise.

EU’s have to understand their responsibility on the business process and the potential impact of their actions in their job and the organizations to realize their full potential as partners in the security of the organization.

Information Security Officers

Information Security Officers are called “Good Guys” in the company because they are the rule makers and protectors of the realm, but it can easily become the contrary.

Information Security inside of an organization is a delicate matter as it needs to create a synergy between the business needs, the business process and, well, security.

ISO’s tend to become entrenched in the last factor only, they tend to become a “NO” man, which doesn’t go too far from becoming an obstacle for the company.

The primary task of an ISO is to listen to the needs of the business with the Top Executives, then listen to the way it is currently executed by the End Users and basically create a Security Strategy using a combination of both point of views.

The second task of the ISO is assuring this strategy will not hinder EU’s while covering TE’s objectives, this part can be done by designing and/or implementing tools and procedures with the EU’s.

The responsibility of the ISO is to protect the business, not only the information but the business too and this means protecting the way it is done too.

Top Executives

Top Executives are very important for the company as they define the macro operations of the organization, they help to design the security strategy and must help to enforce it by using their skills to create a culture out of this strategy.

TE’s tend to forget this second part and stay in a passive role, thinking that after issuing the order the responsibility is exclusive to the ISO, but the company’s security is not as simple.

ISO’s by definition cannot change business procedures as required by the strategy as this is a TE function, so the TE’s have to be involved on every adjustment to the business processes.

ISO’s have to explain their role and the implications of it to the TE’s so it is imperative for it to be described in a business language and be very careful with the technical language involved, as previously stated it is common in human beings to ignore ideas unclear or not perceived as part of their expertise.

Conclusion

In the matter of security an organization cannot leave its responsibility and execution in hands of one individual, it is a work for all echelons in the business to develop a security culture which will protect its employees and their jobs.

Security is not a new field but it is one of the less developed and new threats on new business fields are forcing a due sophistication on its method which calls for all disciplines to embrace new ways to get the job done without giving away our hard work to petty criminals

Criptología Clásica

La criptografía clásica evolucionó de la necesidad de enviar comunicaciones sin que personas no autorizadas pudieran darse cuenta del significado de las mismas, la confidencialidad de la información empezó a tener relevancia en el momento en que las vidas y fortunas de personas con cierto poder dependían de que solo las personas correctas compartieran la información.

Los primeros códigos como el César se caracterizan por el cambio de letras de sus posiciones originales o su escritura en dispositivos especiales que dificultaban su correcto ordenamiento para su decodificación.

La siguiente evolución fue el de cambiar el orden de las mismas o transposición, que da a lugar a la aparición de codificación con claves, el nivel de sofisticación a ésta era premecánica se obtiene cuando Giovan Battista Bellaso combina la cifra de César y la transposición con clave en un solo método que luego sería atribuido a Blaise de Vigenere y aún hoy es conocido como la cifra de Vigenere.

La cifra de vigenere fue el último de los criptosistemas que no utilizaba herramientas para ser encriptado y se creía que mientras no se supiera la clave utilizada no podría ser quebrado.

La idea es que al utilizar un alfabeto diferente para encriptar cada letra aquel que no supiera cual alfabeto fue utilizado no puede adivinar la letra correcta que permite leer el mensaje.

Esta misma idea se utilizó de manera más compleja años después con la ayuda de máquinas, en el caso de la segunda guerra mundial, la más famosa resultó ser la máquina Enigma.

La máquina Enigma gracias a sus diferentes discos y opciones permitía 158,962,555,217,826,360,000 alfabetos, lo cual era más que suficiente para que sus mensajes no fueran decodificados nunca…

A no ser por la misma razón que cifrados aún más seguros son rotos hoy en día, Ingeniería Social.

El ejército alemán cometía errores diarios de exceso de confianza que le facilitó al ejército aliado la tarea de decodificar sus mensajes enormemente.

Por ejemplo, durante sus preparaciones para invadir Polonia, por error envían una de las preciosas máquinas por correo normal, la máquina, al ser enérgicamente solicitada por la embajada alemana, es interceptada durante un fin de semana por la inteligencia polaca y es analizada a fondo hasta su entrega el lunes.

Asimismo su exceso de confianza los lleva a cometer un error imperdonable en el área de la criptología el cual consiste en comenzar TODOS sus mensajes con la misma frase, dando una pista ENORME de cuál era su configuración y permitía a los aliados a configurar sus versiones de la máquina de la misma manera.