Actualidad 101 o como nuestros datos se interconectaron

Actualidad 101 o como nuestros datos se interconectaron

Hace tan solo 20 años la mayoría de nuestros datos (por lo menos en América Latina) eran compilados en papel y almacenados en archivos (cajas físicas) de metal, los procesos para tener acceso a esa información estaba diseñado como todo en esa época en acceso físico, asimismo las personas que entraron en esa época a trabajar fueron entrenados con esa mentalidad.

Poco a poco, conforme las computadoras fueron convirtiéndose en las herramientas que son hoy en día,  la información fue transfiriéndose a archivos digitales, pero no se conectaban a las computadoras entre sí, de manera que mantenían un estatus similar al archivo físico en cuanto a que se necesitaba acceso a la máquina específica que contenía los datos y generalmente se imprimían ya que no había otro proceso diseñado para utilizarlos más que en su forma física.

Ahora las computadoras y oficinas están interconectadas, y además de entre ellas, la mayoría está también conectada a la autopista de la información: Internet.

Lamentablemente un hecho olvidado por el personal entrenado en la época donde no existía ésta interconexión es el hecho de que internet es una autopista de dos vías.

Ventajas de la interconexión

La interconexión con internet presenta una forma barata y comparativamente eficiente de enviar archivos y mensajes a colegas en otras partes del mundo.

Acelera el intercambio de información permitiéndonos ser más eficientes y tomar decisiones informadas en un lapso de tiempo menor.

Nos permite consultar más fuentes de contenido y hacer investigaciones más profundas en menor tiempo.

Desventajas de la interconexión

Es más difícil mantener la privacidad de los datos que utilizamos día a día, existen cientos de personas en el mundo que hacen de su trabajo el investigar sobre personas y empresas buscando la manera de acceder a los datos privados, la seguridad ya no se limita a poner un guarda o colocar cámaras, éstas conexiones son invisibles y necesitan aparatos de análisis de conexión y cortafuegos (firewalls) para detener a éstas personas y proteger los datos.

Como se conectan éstas personas a mis datos, la computadora del trabajo y/o al servidor de almacenamiento?

La respuesta es simple y concisa, de la misma manera en que usted lo hace!

Las personas que intentan éste tipo de operaciones tienden a ser gente con gran conocimiento técnico y acceso parcial o total al ambiente de alguna manera, sea física o digital.

Se empieza por analizar a la empresa ya sea de manera remota: utilizando programas de análisis de vulnerabilidades o colocando programas de análisis de tráfico. O de manera física: haciendo ingeniería social, colocando aparatos de bitácora de teclas (keylogers), analizando el contenido de los cubículos (claves escritas en papel, fotografías y demás).

La meta es lograr algún nivel de acceso a los archivos de la compañía y determinar si tienen algún tipo de valor monetario para alguien y ofrecerlo al mejor postor.

Es responsabilidad de cada persona de seguir los comportamientos de seguridad recomendados para evitar el robo de información en la empresa o en su hogar.

Security Culture

A company is a living being and it creates rules for its employees that define its behavior. Companies that want to establish a culture of security must recognize the needs of the people who work in the company and balance the challenges of security checks with the business processes that give a company vitality. Implementing security is not only about the safety of your company, but also about the safety of its employees. A company's safety culture, a set of policies and guidelines that help establish a safety culture in your company.

After the introduction of the security culture, time tends to override it, but it is about demonstrating through workflows how to secure the information associated with it while at the same time defying competition and external threats.

The culture of a company is not the sole property of the security bureau; people are the driving force behind the company that is alive, and planning, management, and motivation relate to people. Successful companies are constantly evolving and the processes, tools and information flows are evolving with them. Security ideas are rarely soft and the security culture sometimes appears rigid and intransigent, depending on the needs set at the time of design, but sometimes it is even more rigid than the software itself. The collective behaviour of each department is guided by a security policy that encourages all members of this team to protect their information.

We are in a war against hackers, fraudsters and information thieves and we must protect ourselves. Security is an armament of accountability and confidentiality, but it should not be seen as an obstacle; it is the protection that soldiers provide.

It is a mistake to believe that security simply means maintaining the status quo of the company, but that it should be used and used to improve business processes. Resentment over the procedures imposed will lead to the proverbial tug of war; staff will rebel against the unnecessary blocking checks they consider unnecessary or inconvenient; they will return to reports containing missing or inaccurate information, where management will make decisions based on the wrong data, the most innovative ideas will be burdened by processes and the process will cause problems. Resistance to change stems from ignorance; security officials and leaders in blue governments, perceived as power-driven and self-determined, enact new rules and procedures, believing that a simple "no" is not an option, while the security department should have found a way to implement the original idea and protect it from kidnapping and theft. If people are convinced that the rules, procedures or instruments you propose are working, they are less likely to engage in what would otherwise be skirmishes, and your company will either be stuck, disadvantaged over its competitors, or the side that will lose the battle. Any plan to implement a good culture must be accompanied by the sound training and motivation behind the plan; employees must all be empowered to draw up and implement safety plans for themselves by bringing their experience into their daily operations.

Some managers still believe they are in the 21st century and do not apply concepts such as "culture," and technical knowledge has not been refined or updated. The Latin American market, which has the greatest security potential in the economy, according to a recent study by the Institute for Critical Infrastructure Technology.

The most common way to prevent security is ignorance, which means relying on information that is volatile, free, or permanent. The perceived value of potential break-ins is less than trying to penetrate the system, and the concept that was absolute yesterday is obsolete today. Virtual security is an elusive concept, but even government departments have taken a more proactive approach to security than their private-sector counterparts in recent years. This is shocking news, because the level of security can only be increased if most people working in public institutions understand all security concepts, including physical security. They are small, poorly connected, companies have very little ability to actively protect themselves against attacks and other viruses, and virtual security and security are elusive concepts.

Ataques de negación de servicios, donde están sucediendo?

Como parte de mi investigación para mantenerme al tanto de lo nuevo en seguridad informática me topé con éste sitio:

http://map.ipviking.com/

Este sitio muestra en tiempo real los ataques de tipo DDOS detectados en el mundo y el país de origen-destino.

Mas allá de la parte informativa, abre los ojos la cantidad de ataques que empresas pequeñas sufren a manos de éstos mercenarios, recordemos en centroamérica los ataques a los sitios web de Migración en Honduras y al periódico Universidad en Costa Rica.

Los hackers no solo buscan objetivos grandes, a veces atacan empresas pequeñas para probar sus habilidades, y si no tiene un mecanismo de seguridad que le permita, en el peor de los casos, recuperar su información, está a merced de quien pueda entrar.

Una empresa responsable debe tener un oficial de seguridad informática debidamente informado que le permita defenderse y defender su negocio.

Un firewall inteligente puede filtrar los paquetes repetitivos de una misma dirección IP, por ejemplo el ASA de CISCO.

Mantener una adecuada política de respaldos puede evitarle desde dolores de cabeza hasta la quiebra de su negocio.

Los ataques de negación de servicios son más comunes de lo que cree, esperará hasta ser el próximo?

¿Qué es un modelo de datos?

Un modelo de datos es un mapa, así de simple, un mapa que describe el camino que sigue la información de un punto a otro de un proceso.

En un proceso de negocio se documentan los movimientos de información, servicios, productos y/o dinero, de la correcta ejecución del proceso depende que el negocio opere de manera exitosa, y la mejor manera de controlar esa ejecución es documentar el proceso.

El primer paso de la creación de un proceso es definir cuál es la meta del proceso, ésta definición nos permitirá definir qué información requerimos para cumplirla.

Por ejemplo:

Tenemos una tienda que vende batidos de sabores así que ofrecemos varios sabores y opciones de batidos:

Base:

Agua      $5

Leche    $8

Yogurt   $8

Sabores:

Banana

Melón

Chocolate

Sandía

Limón

Naranja

Dos Sabores       +$2

Tres Sabores      +$3

Ejercicios

¿Cuál sería la meta de un modelo de datos basado en ésta información?

¿Qué información necesitamos para definir el proceso de negocio asociado?

Como trabajo con JSON en Delphi?

Para trabajar en JSON se utiliza el objeto TJSONObject, de la siguiente manera:

Si uno está generando la información a enviar puede usar el siguiente método:

var
  LJSONObject: TJSONObject;
 
begin
  LJSONObject:= TJSONObject.Create;
  LJSONObject.AddPair(TJSONPair.Create(TJSONString.Create('Hola'),
                                       TJSONString.Create('Mundo')));

Rápido y sencillo verdad?

Pero digamos que tenemos que utilizar un header predefinido como éste:

const
  GJSONString =

'{'+
    '"glossary": {'+
        '"title": "example glossary",'+
  '"GlossDiv": {'+
            '"title": "S",'+
   '"GlossList": {'+
                '"GlossEntry": {'+
                   ' "ID": "SGML",'+
     '"SortAs": "SGML",'+
     '"GlossTerm": "Standard Generalized Markup Language",'+
     '"Acronym": "SGML",'+
     '"Abbrev": "ISO 8879:1986",'+
     '"GlossDef": {'+
                        '"para": "A meta-markup language, used to create markup languages such as DocBook.",'+
      '"GlossSeeAlso": ["GML", "XML"]'+
                    '},'+
     '"GlossSee": "markup"'+
                '}'+
            '}'+
        '}'+
    '}'+
'}';

Entonces se utiliza la funcion parser del objeto TJSONObject de ésta manera:

procedure ConsumeJsonBytes;
var
  LJSONObject: TJSONObject;
 
begin
  LJSONObject := nil;
  try
    LJSONObject := TJsonObject.Create;
    { convert String to JSON }
    LJSONObject.Parse(BytesOf(GJSONString), 0);
 
    { output the JSON to console as String }
    Writeln(LJSONObject.ToString);
  finally
    LJSONObject.Free;
  end;
end;


Produciendo el objeto deseado.

¿Que es la ciberguerra?

Hoy en día estamos en una guerra, una guerra a través de Internet, ¿que significa ésto?.

Todos estamos conscientes de lo difícil que está la vida en ésta época, cómo el dinero es cada vez más difícil de obtener y cómo cada vez más personas buscan maneras "fáciles" de obtener el dinero de los demás.

Hay miles de personas literalmente buscando información rentable o "paydata" para venderla, hoy en día es común la compra y venta de información privilegiada para usos semipúblicos, por ejemplo empresas de investigación de crédito cuyas actividades no son legales en todos los países en los que operan.

Existen personas que utilizan virus tipo troyanos para tomar control remoto de partes de la computadora y vender sus servicios en ataques en contra de sitios e incluso utilizan virus de tipo gusano para robar información de teléfonos y computadoras sobre cuentas bancarias.

Esto es la ciberguerra, la lucha entre protectores de la información en contra de ladrones de información, es la guerra en la que están involucrados todos aquellos que deciden entrar en la Internet, en la que si no tomas consciencia te conviertes en víctima, consulte a un profesional en seguridad si no está seguro de que tan segura está su información.

¿En que puesto estamos en la ciberguerra?

Kaspersky tiene un mapa en tiempo real que utiliza los reportes que obtienen de virus, vulnerabilidades y ataques desde la nube que puede verse en éste enlace

http://cyberwar.kaspersky.com/

¿Que es AppMethod?

Appmethod es una versión de C++ Builder y Delphi enfocada al desarrollo multiplataformas que no es compatible con las versiones de delphi anteriores a XE2 ya que todas las aplicaciones programables utilizan el framework "FireMonkey".

¿Que es Firemonkey?
Firemonkey es un Framework especializado para multiplataformas que utiliza librerías que le permiten al código escrito y diseñado en él, ser compilado para diversas plataformas (Windows, MacOS, Android y IOS) en código nativo sin utilizar máquinas virtuales.

¿Cúal es la diferencia entre AppMethod y RAD Studio?
Rad Studio incluye muchas mas opciones para el desarrollador que AppMethod, AppMethod es recomendado para el programador cuyo objetivo sea las aplicaciones pequeñas

Delphi y Bluetooth

Un muy buen ejemplo de una aplicación Bluetooth con Delphi es ésta aplicación creada por
Björn Hansen
https://www.youtube.com/watch?v=vesPd5WvykA

Utiliza Bluetooth para conectarse a un sistema de iluminación e ilustra las facilidades de Delphi para conectarse a dispositivos Bluetooth

CodeRage Latinoamérica. 11 Marzo 2014.

Este mes de Marzo la comunidad de desarrolladores está de suerte.
La programación para móbiles está de moda y si desea aprender, aprenda de los mejores!

• Todo lo que necesita saber para comenzar con iOS y Android en Delphi y C + + Builder
• Buenas prácticas en el diseño de la interfaz gráfica de sus aplicaciones móviles
• Aplicaciones iOS y Android con base de datos en Delphi y C + + Builder
• Aplicaciones iOS y Android con soporte para arquitecturas Multi-capas utilizando DataSnap 

 Regístrese ahora!

RAD Studio de Embarcadero, Nuevas herramientas para el futuro

Hoy estuve en el evento de Rad Studio de Embarcadero en Costa Rica, fue muy refrescante el ver a tantas personas interesadas en el futuro del desarrollo de aplicaciones.
El punto principal del evento fue la capacidad de la herramienta RAD Studio de utilizar un mismo código fuente para compilar la misma aplicación en ambientes android, IOS, Windows y MacOS, el resultado fue sorprendente, la posibilidad del framework de heredar las características de los diversos ambientes y las facilidades de conexión a las diversas bases de datos permiten un ahorro de recursos impresionante.

Una herramienta de éste tipo incorpora beneficios como:

• Menor curva de aprendizaje
• Desarrollo más ágil
• Cobertura de mercado

Éstos son beneficios inmediatos que reciben los desarrolladores con una herramienta sólida y pionera en el campo del desarrollo.
Los que recordamos los tiempos de Borland vimos crecer a Delphi como la respuesta a la creciente demanda de aplicaciones en 16 bit que eran lo último en los 90's, en esa época el lenguaje de entrada al mundo de la programación era Pascal y el salto a Delphi era fácil, por lo que el relanzamiento de Delphi es un respiro para los que empezamos de ésa manera.
Las nuevas generaciones han empezado con C++ y Java y puede que no se sientan tan cómodos, así que parte del suite que se mostró fue C++ Builder que incorpora las mismas bondades y facilidad visual de programación con el lenguaje madre de la nueva generación C++.

La nueva tendencia de mercado es la plataforma móvil, y aquellos que no lo han aceptado lo han pagado caro, las estadísticas muestran que hay más dispositivos android conectados a la internet de los que hubo en windows y siguen creciendo!.
Tablets, Teléfonos inteligentes, Relojes inteligentes incluso anteojos inteligentes!, éstos son los dispositivos que son utilizados hoy en día, así que la tendencia para desarrollar en ellos debe ser ahora.

Auditoría de Seguridad de su empresa

¡Aproveche el diagnóstico y
no permita que su información esté en riesgo!

 Publicado en mercadeo.com

La auditoría de seguridad es una de las herramientas más poderosas e ignoradas para el mantenimiento de nuestra actividad de negocio.

Una auditoría de seguridad completa incluye un análisis de infraestructura tecnológica, un estudio de estrategia de mantenimiento del negocio y un plan de protección integral de los datos de la empresa.

El análisis de infraestructura tecnológica incluye el asegurar que la red de información de la empresa es seguro desde dos puntos de vista, el de asegurar que la información llegue de forma rápida y de que la información no sea vulnerable a lectura o edición de parte de personas no autorizadas.

El estudio de estrategia de mantenimiento del negocio incluye el revisar que estrategias tiene la empresa en el caso de que alguno de los sistemas (Comunicación, Procesamiento o Almacenamiento) falle, ¿Qué tan redundante es mi sistema?, la redundancia de sistemas es nuestra amiga para la prevención de desastres.

El plan de protección integral de los datos es importantísimo ya que representa el activo más valioso de la empresa, su información, así que debemos incluir un plan de educación del personal para que asuman su responsabilidad con la integridad de los datos de la empresa, un 75% de los daños en sistemas empresariales son causados por los mismos empleados ya sea por error o por acción alevosa, por ello el siguiente paso es el crear una política de seguridad de usuarios y “roles” para separar y delimitar el alcance de daño posible, y la última parte del plan es el respaldo de los datos, aunque tengamos total confianza en el sistema que tengamos, debemos planear para la peor situación posible y eso implica que debemos tener copias y copias de la información día  a día (aunque con la tecnología actual podemos utilizar la “nube” como respaldo).

El temor infundado a la auditoría

Uno de los temores más generalizados para evitar una auditoría de seguridad es la posibilidad de encontrar una debilidad dentro de la infraestructura de tecnología de información de la empresa.

Éste temor es comparable al de no ir al médico por temor a que se le diagnostique un cáncer o alguna otra enfermedad, ¿cómo esperamos ser capaces de contrarrestar una infección si no tenemos la valentía de aceptar la posibilidad?

La auditoría de seguridad de sistemas informáticos es una medalla de valor en el historial de nuestra compañía, demuestra el compromiso de la empresa en la protección de los datos de sus clientes y en el aseguramiento de la confiabilidad de los datos.

La seguridad informática no consta solamente de antivirus y evitar que un hacker entre a sus sistemas, esa sólo es una parte ínfima de las responsabilidades de un CIO, un Jefe de información debe asegurar entre otras cosas:

• El asegurar políticas de continuidad del negocio
• Crear un árbol de comunicación y toma de decisiones
• El crear planes de recuperación
• Organizar respaldos de información e Infraestructura

¡Utilice sus mejores prácticas de seguridad como estrategia de mercadeo!

El demostrar que su empresa es sólida y está preparada para sobrevivir a desastres es una excelente manera de atraer clientes, además que garantiza un servicio estable y confiable.

Certificaciones de Seguridad

Una de las técnicas de seguridad que se consideran imprescindibles en el mundo de hoy son las certificaciones de seguridad en su sitio web.

Las certificaciones de seguridad son llaves de seguridad que garantizan a sus clientes que su sitio en la red es suyo, asimismo certifica que cualquier transacción que se haga es segura y que nadie que intente “escuchar” la comunicación entre el cliente y su empresa podrá entender nada.

Al informar a sus clientes de sus certificaciones de seguridad y sus estrategias de auditoría los hará sentir mayor confianza en usted y en su empresa, la inversión será retribuida en mayor afluencia de clientes y la seguridad de que al pasar una situación, su empresa no será afectada.

Raúl Morales Víquez es Consultor en informática e
Instructor, certificado en Seguridad Informática, 
graduado en la Universidad Latina de Costa Rica 
con más de 10 años de experiencia en diversas 
áreas de cultura organizacional en empresas 
multinacionales.