Ideas para la auditoría de Sistemas

La auditoría de sistemas es un tema que puede llegar a ser complejo en la empresa, como todo tópico tiende a ser abordado desde distintos puntos de vista y no deja de ser válido el aspecto técnico contra el aspecto administrativo.

Desde el aspecto administrativo se esperan tener números que demuestren la efectividad de las reglas tomadas y de los ahorros conseguidos.

El aspecto técnico implica la rapidez de las tareas y los ahorros de tiempo para permitir el hacer otras tareas.

Los gerentes esperan de sus jefes técnicos la generación de simulaciones con lo que costaría en tiempo vs dinero invertido vs posible impacto para asegurar la necesidad de fondos para sus actividades, es parte de su set de conocimientos y necesidades.

Para los Jefes Técnicos es implícita esa necesidad y es difícil el concepto de generar aún mas trabajo para las actividades críticas del negocio.

Los dos lados de la moneda son difíciles de conciliar pero no imposible, varias instituciones han diseñado modelos de gobernabilidad de TI basados en las diferencias de conceptualización, convirtiendo tareas criticas en métricas medibles.

Para una persona técnica a veces es complicado el convertir las posibilidades de desastre en algo cuantificable, tan sólo la pérdida o corrupcion de datos parcial implica una investigación costosa y una posible pérdida monetaria y de confianza.

La comparación de cambios, el seguimiento, la responsabilidad documentada  y una adecuada política de proceso ayuda a reducir la posibilidad de factores impredecibles, por otro lado permite una rápida recuperación ante accidentes.

Es importante para todos los responsables en una empresa  el involucrarse y tratar tanto de comprender a sus colegas como el facilitar la comprensión de sus responsabilidades para mejorar la eficacia de los procesos en la empresa.

Actualidad 101 o como nuestros datos se interconectaron

Actualidad 101 o como nuestros datos se interconectaron

Hace tan solo 20 años la mayoría de nuestros datos (por lo menos en América Latina) eran compilados en papel y almacenados en archivos (cajas físicas) de metal, los procesos para tener acceso a esa información estaba diseñado como todo en esa época en acceso físico, asimismo las personas que entraron en esa época a trabajar fueron entrenados con esa mentalidad.

Poco a poco, conforme las computadoras fueron convirtiéndose en las herramientas que son hoy en día,  la información fue transfiriéndose a archivos digitales, pero no se conectaban a las computadoras entre sí, de manera que mantenían un estatus similar al archivo físico en cuanto a que se necesitaba acceso a la máquina específica que contenía los datos y generalmente se imprimían ya que no había otro proceso diseñado para utilizarlos más que en su forma física.

Ahora las computadoras y oficinas están interconectadas, y además de entre ellas, la mayoría está también conectada a la autopista de la información: Internet.

Lamentablemente un hecho olvidado por el personal entrenado en la época donde no existía ésta interconexión es el hecho de que internet es una autopista de dos vías.

Ventajas de la interconexión

La interconexión con internet presenta una forma barata y comparativamente eficiente de enviar archivos y mensajes a colegas en otras partes del mundo.

Acelera el intercambio de información permitiéndonos ser más eficientes y tomar decisiones informadas en un lapso de tiempo menor.

Nos permite consultar más fuentes de contenido y hacer investigaciones más profundas en menor tiempo.

Desventajas de la interconexión

Es más difícil mantener la privacidad de los datos que utilizamos día a día, existen cientos de personas en el mundo que hacen de su trabajo el investigar sobre personas y empresas buscando la manera de acceder a los datos privados, la seguridad ya no se limita a poner un guarda o colocar cámaras, éstas conexiones son invisibles y necesitan aparatos de análisis de conexión y cortafuegos (firewalls) para detener a éstas personas y proteger los datos.

Como se conectan éstas personas a mis datos, la computadora del trabajo y/o al servidor de almacenamiento?

La respuesta es simple y concisa, de la misma manera en que usted lo hace!

Las personas que intentan éste tipo de operaciones tienden a ser gente con gran conocimiento técnico y acceso parcial o total al ambiente de alguna manera, sea física o digital.

Se empieza por analizar a la empresa ya sea de manera remota: utilizando programas de análisis de vulnerabilidades o colocando programas de análisis de tráfico. O de manera física: haciendo ingeniería social, colocando aparatos de bitácora de teclas (keylogers), analizando el contenido de los cubículos (claves escritas en papel, fotografías y demás).

La meta es lograr algún nivel de acceso a los archivos de la compañía y determinar si tienen algún tipo de valor monetario para alguien y ofrecerlo al mejor postor.

Es responsabilidad de cada persona de seguir los comportamientos de seguridad recomendados para evitar el robo de información en la empresa o en su hogar.

Conceptos administrativos de la gestión de seguridad en la empresa

Desde el punto de vista de seguridad de la información hay muchos conceptos que pueden sonar conflictivos y confusos al compararse con sus contrapartes y que dependen del contexto de la arquitectura de servicios implementada.

Una infraestructura bien definida es dividida en capas para controlar el acceso tanto interno a información privilegiada como externo a la red entrante y saliente, esto se hace para delimitar la cantidad de puntos críticos que permitan el acceso. La idea es simple, hay que mantener el servicio sin abrir demasiados nodos, muchas empresas utilizan clusters como gateways de salida para que aunque son reconocidos como un solo servidor en caso de que falle cuenta con un respaldo que tiene su misma configuración.

¿Qué tiene esto que ver con la gestión de la seguridad?

Uno de los aspectos más importantes de la gestión es el llamado “Inventario de activos”, el cual identifica la configuración, nivel de parches, software instalado, función, nombre del nodo y demás detalles relevantes. Este documento es la guía para todo lo que hay que actualizar en la infraestructura tecnológica y es compuesto por varios procesos:

Inventario Físico: es la toma física de recursos, ejemplo: el registro de servidores, monitores y demás activos físicos de la empresa asimismo comprende la configuración de cableado utilizado.

Inventario lógico: es el registro de las funciones de cada nodo y la configuración recomendada así como el nivel de parche recomendado.

Auditoría de vulnerabilidad: se utilizan herramientas de ataque de penetración para comprobar vulnerabilidades conocidas y sus arreglos

¿Por qué agrego la auditoría de vulnerabilidad entre los procesos que componen el Inventario de Activos?

Todos los días se descubren nuevas vulnerabilidades a los sistemas más utilizados comúnmente denominadas como “0-day”, estas vulnerabilidades son publicadas y no se limitan a los sistemas operativos, pueden afectar a gestores de contenido como Joomla y Wordpress, incluso el firmware de ciertos firewalls.

La auditoría de vulnerabilidad es un proceso que debe hacerse periódicamente para evitar que una de estas vulnerabilidades descubiertas sea utilizada por algún operador malicioso y cerrar cualquier agujero.

De identificarse una situación donde un ataque constante o focalizado es importante implementar un protocolo de auditoría de vulnerabilidades enfocándose en las vulnerabilidades atacadas, es importante garantizar la impermeabilidad en contra de éstos ataques y la seguridad de la información de la empresa.

Es extremadamente importante mantenerse al día con la protección que le damos a nuestra empresa y una infraestructura adecuada es la mejor manera de hacerlo de manera eficiente.

Ley de protección de datos personales en Costa Rica

La ley de protección de la información de Costa Rica es una ley bastante completa que se nota fue desarrollada a partir de los principios de seguridad de la información.

Aunque la ley demuestra bastante madurez, las personas siguen incumpliendo sus estatutos, siguen dándose casos de robo de información, publicación indebida de información privada sea ésta en forma de información escrita o imágenes.

Básicamente muchos de éstos casos se dan por la ilusión de anonimidad que dan los medios digitales, el principio de que se puede hacer lo que se quiera siempre y cuando no sea descubierto haciéndolo, está muy arraigado y podría decirse que hasta está institucionalizado.

Vemos éste comportamiento a todo nivel debido principalmente al alto costo que implica un proceso judicial                 contra la compensación real obtenible, la necesidad de utilizar un abogado y pagar por el desde que empieza el proceso, la duración del mismo y los métodos de pago utilizados son elementos que no incentivan la búsqueda de justicia utilizando los métodos convencionales.

Asimismo existe una desconfianza en los métodos de investigación de casos de robo de información debido al alto nivel de sofisticación de los mismos y a que muchas veces dependen de que el responsable confiese públicamente su participación ya sea a propósito o inadvertidamente, la demostración del responsable del acto criminal es difícil y costosa tanto en tiempo como financieramente.

La poca preocupación de las personas por la seguridad de su información hace de la determinación del responsable del robo una tarea poco menos que imposible, el uso de tarjetas de memoria sin encriptar y el descuido con aparatos facilitan la tarea de los delincuentes tanto profesionales como ocasionales.

 La internet es una sub-sociedad basada en demostraciones gráficas de osadía y atrevimiento, los actos que desafían las leyes y la seguridad propia y ajena tanto física como la de su reputación, no es secreto que hay un grupo de personas que se ganan la vida tomando fotografías de las personas y violando su intimidad.

Es imperativo crear una cultura basada en la seguridad, que inste al ciudadano común en las costumbres que harían más difícil el robo de información y por ende les daría una mejor posición en contra de éstos delincuentes.

La cultura a crear debe tomar por ejemplo comportamientos como los siguientes:

·         El uso de programas de encripción en nuestros sistemas de almacenamiento de datos

·         Usar claves de acceso para el uso normal de nuestros aparatos, asimismo el registro de los mismos e inutilización en caso de robo

·         El uso de certificados de seguridad en nuestras comunicaciones para evitar la lectura no autorizada.

El depender de la ley para evitar nuestra responsabilidad solo aumenta el problema, nuestras leyes presentan el mismo fenómeno que nuestra sociedad, somos excelentes en el planteo de la solución pero tenemos problemas de ejecución que debemos enfrentar.

La seguridad de nuestra información es nuestra responsabilidad y no podemos dejársela a un tercero.

Humans in Information Security

People have a lot of prejudices when trying to identify the different roles in Information Security for the different position scales in the companies, it is easy to oversimplify the responsibility levels as it is human behavior.

Everybody knows the different issues of IS in any company, actually companies and media has even blown them out of proportion sometimes, it has to do with a combination of creativity and common sense where everything begins:

A typical modern company has the following macro divisions on their workforce:

·         End Users

·         Information Security Officers

·         Top Executives

End users

End users take the brunt of the decisions of both ISO’s and TE’s and are mostly dubbed as the “enemies” of the ISO’s… there is nothing farther from the truth as the people who knows most about the micro management of the company is the End Users!!

They are the people who faces day by day the challenges and attempts of hundreds of wannabe small time criminals who want to obtain information or any kind of advantage from our company.

End Users are our first and best line of defense against information criminals and they deserve the support and training from the Information Officers and Top Executives.

ISO’s have to explain carefully the role of the EU’s in the security strategy, in this task it is imperative to keep the explanation in a mildly-technical manner, and this speech has to be simple, to the point and focused in their role, humans tend to lose focus in topics which are perceived as outside their area of expertise.

EU’s have to understand their responsibility on the business process and the potential impact of their actions in their job and the organizations to realize their full potential as partners in the security of the organization.

Information Security Officers

Information Security Officers are called “Good Guys” in the company because they are the rule makers and protectors of the realm, but it can easily become the contrary.

Information Security inside of an organization is a delicate matter as it needs to create a synergy between the business needs, the business process and, well, security.

ISO’s tend to become entrenched in the last factor only, they tend to become a “NO” man, which doesn’t go too far from becoming an obstacle for the company.

The primary task of an ISO is to listen to the needs of the business with the Top Executives, then listen to the way it is currently executed by the End Users and basically create a Security Strategy using a combination of both point of views.

The second task of the ISO is assuring this strategy will not hinder EU’s while covering TE’s objectives, this part can be done by designing and/or implementing tools and procedures with the EU’s.

The responsibility of the ISO is to protect the business, not only the information but the business too and this means protecting the way it is done too.

Top Executives

Top Executives are very important for the company as they define the macro operations of the organization, they help to design the security strategy and must help to enforce it by using their skills to create a culture out of this strategy.

TE’s tend to forget this second part and stay in a passive role, thinking that after issuing the order the responsibility is exclusive to the ISO, but the company’s security is not as simple.

ISO’s by definition cannot change business procedures as required by the strategy as this is a TE function, so the TE’s have to be involved on every adjustment to the business processes.

ISO’s have to explain their role and the implications of it to the TE’s so it is imperative for it to be described in a business language and be very careful with the technical language involved, as previously stated it is common in human beings to ignore ideas unclear or not perceived as part of their expertise.

Conclusion

In the matter of security an organization cannot leave its responsibility and execution in hands of one individual, it is a work for all echelons in the business to develop a security culture which will protect its employees and their jobs.

Security is not a new field but it is one of the less developed and new threats on new business fields are forcing a due sophistication on its method which calls for all disciplines to embrace new ways to get the job done without giving away our hard work to petty criminals

Criptología Clásica

La criptografía clásica evolucionó de la necesidad de enviar comunicaciones sin que personas no autorizadas pudieran darse cuenta del significado de las mismas, la confidencialidad de la información empezó a tener relevancia en el momento en que las vidas y fortunas de personas con cierto poder dependían de que solo las personas correctas compartieran la información.

Los primeros códigos como el César se caracterizan por el cambio de letras de sus posiciones originales o su escritura en dispositivos especiales que dificultaban su correcto ordenamiento para su decodificación.

La siguiente evolución fue el de cambiar el orden de las mismas o transposición, que da a lugar a la aparición de codificación con claves, el nivel de sofisticación a ésta era premecánica se obtiene cuando Giovan Battista Bellaso combina la cifra de César y la transposición con clave en un solo método que luego sería atribuido a Blaise de Vigenere y aún hoy es conocido como la cifra de Vigenere.

La cifra de vigenere fue el último de los criptosistemas que no utilizaba herramientas para ser encriptado y se creía que mientras no se supiera la clave utilizada no podría ser quebrado.

La idea es que al utilizar un alfabeto diferente para encriptar cada letra aquel que no supiera cual alfabeto fue utilizado no puede adivinar la letra correcta que permite leer el mensaje.

Esta misma idea se utilizó de manera más compleja años después con la ayuda de máquinas, en el caso de la segunda guerra mundial, la más famosa resultó ser la máquina Enigma.

La máquina Enigma gracias a sus diferentes discos y opciones permitía 158,962,555,217,826,360,000 alfabetos, lo cual era más que suficiente para que sus mensajes no fueran decodificados nunca…

A no ser por la misma razón que cifrados aún más seguros son rotos hoy en día, Ingeniería Social.

El ejército alemán cometía errores diarios de exceso de confianza que le facilitó al ejército aliado la tarea de decodificar sus mensajes enormemente.

Por ejemplo, durante sus preparaciones para invadir Polonia, por error envían una de las preciosas máquinas por correo normal, la máquina, al ser enérgicamente solicitada por la embajada alemana, es interceptada durante un fin de semana por la inteligencia polaca y es analizada a fondo hasta su entrega el lunes.

Asimismo su exceso de confianza los lleva a cometer un error imperdonable en el área de la criptología el cual consiste en comenzar TODOS sus mensajes con la misma frase, dando una pista ENORME de cuál era su configuración y permitía a los aliados a configurar sus versiones de la máquina de la misma manera.

Security Culture

A company is a living being and it creates rules for its employees that define its behavior. Companies that want to establish a culture of security must recognize the needs of the people who work in the company and balance the challenges of security checks with the business processes that give a company vitality. Implementing security is not only about the safety of your company, but also about the safety of its employees. A company's safety culture, a set of policies and guidelines that help establish a safety culture in your company.

After the introduction of the security culture, time tends to override it, but it is about demonstrating through workflows how to secure the information associated with it while at the same time defying competition and external threats.

The culture of a company is not the sole property of the security bureau; people are the driving force behind the company that is alive, and planning, management, and motivation relate to people. Successful companies are constantly evolving and the processes, tools and information flows are evolving with them. Security ideas are rarely soft and the security culture sometimes appears rigid and intransigent, depending on the needs set at the time of design, but sometimes it is even more rigid than the software itself. The collective behaviour of each department is guided by a security policy that encourages all members of this team to protect their information.

We are in a war against hackers, fraudsters and information thieves and we must protect ourselves. Security is an armament of accountability and confidentiality, but it should not be seen as an obstacle; it is the protection that soldiers provide.

It is a mistake to believe that security simply means maintaining the status quo of the company, but that it should be used and used to improve business processes. Resentment over the procedures imposed will lead to the proverbial tug of war; staff will rebel against the unnecessary blocking checks they consider unnecessary or inconvenient; they will return to reports containing missing or inaccurate information, where management will make decisions based on the wrong data, the most innovative ideas will be burdened by processes and the process will cause problems. Resistance to change stems from ignorance; security officials and leaders in blue governments, perceived as power-driven and self-determined, enact new rules and procedures, believing that a simple "no" is not an option, while the security department should have found a way to implement the original idea and protect it from kidnapping and theft. If people are convinced that the rules, procedures or instruments you propose are working, they are less likely to engage in what would otherwise be skirmishes, and your company will either be stuck, disadvantaged over its competitors, or the side that will lose the battle. Any plan to implement a good culture must be accompanied by the sound training and motivation behind the plan; employees must all be empowered to draw up and implement safety plans for themselves by bringing their experience into their daily operations.

Some managers still believe they are in the 21st century and do not apply concepts such as "culture," and technical knowledge has not been refined or updated. The Latin American market, which has the greatest security potential in the economy, according to a recent study by the Institute for Critical Infrastructure Technology.

The most common way to prevent security is ignorance, which means relying on information that is volatile, free, or permanent. The perceived value of potential break-ins is less than trying to penetrate the system, and the concept that was absolute yesterday is obsolete today. Virtual security is an elusive concept, but even government departments have taken a more proactive approach to security than their private-sector counterparts in recent years. This is shocking news, because the level of security can only be increased if most people working in public institutions understand all security concepts, including physical security. They are small, poorly connected, companies have very little ability to actively protect themselves against attacks and other viruses, and virtual security and security are elusive concepts.

Ataques de negación de servicios, donde están sucediendo?

Como parte de mi investigación para mantenerme al tanto de lo nuevo en seguridad informática me topé con éste sitio:

http://map.ipviking.com/

Este sitio muestra en tiempo real los ataques de tipo DDOS detectados en el mundo y el país de origen-destino.

Mas allá de la parte informativa, abre los ojos la cantidad de ataques que empresas pequeñas sufren a manos de éstos mercenarios, recordemos en centroamérica los ataques a los sitios web de Migración en Honduras y al periódico Universidad en Costa Rica.

Los hackers no solo buscan objetivos grandes, a veces atacan empresas pequeñas para probar sus habilidades, y si no tiene un mecanismo de seguridad que le permita, en el peor de los casos, recuperar su información, está a merced de quien pueda entrar.

Una empresa responsable debe tener un oficial de seguridad informática debidamente informado que le permita defenderse y defender su negocio.

Un firewall inteligente puede filtrar los paquetes repetitivos de una misma dirección IP, por ejemplo el ASA de CISCO.

Mantener una adecuada política de respaldos puede evitarle desde dolores de cabeza hasta la quiebra de su negocio.

Los ataques de negación de servicios son más comunes de lo que cree, esperará hasta ser el próximo?

Los Retos actuales de la Seguridad Informática

Estamos en una época de cambio constante, lo cual no es secreto pero aún así existe resistencia, ahora no nos enfrentamos exclusivamente a ataques anárquicos sino a ataques con objetivos de ganancia monetaria y/o comercial.

Las empresas han aprovechado el concepto de seguridad globalmente, sus aplicaciones de negocio se enfocan al mantenimiento de los procesos y a la continuidad.
Asimismo los sistemas antipenetración han evolucionado para detectar paquetes de información salientes en lugar de buscar código malicioso.

Porque ya no es posible analizar el código malicioso de una aplicación?

Las personas que escriben troyanos (virus capaces de infiltrar la computadora) son personas muy inteligentes las cuales tienen entre su propósito no ser detectados así que efectúan una encripción de su código lo cual impide que la mayoría de los antivirus no puedan detectarlos.

Como se detecta un troyano?

Los troyanos se detectan inicialmente por su comportamiento, la mayoría de los troyanos buscará la manera de transmitir información desde la computadora infectada a través de puertos válidos.

Los analizadores modernos buscan patrones de conducta anómalos y los bloquean mientras el administrador de red analiza si es o no un comportamiento válido.

Cuál es la diferencia de un troyano, un malware o un adware?

Básicamente la única diferencia entre los 3 es su comportamiento:

Un troyano es un código que al ejecutarse buscará cumplir un objetivo de manera anónima, por lo general (aunque no en todos los casos), abrir un "backdoor" en la computadora o enviar un registro de teclas pulsadas.

Un Malware se diferencia del troyano en que es obvio, o sea el programa hará pública su presencia y cometerá acciones obvias en perjuicio de la computadora.

Un Adware es un código que presentará publicidad no solicitada  en cualquier momento.

Cómo elimino éstas amenazas?

Programas antivirus actualizados como el Kaspersky y el Avast eliminan muchos de los troyanos identificados.
Aún así es recomendable compensar con programas Antimalware como el Malware Bytes o el Spybot los cuales se enfocan en los programas maliciosos que normalmente evaden a los antivirus

¿Qué es un botnet?

Creo que a las personas que les interesa la seguridad de la información han escuchado los conceptos de:

Ataque de Negación de Servicio (DOS - Denial of Service)
Ataque distribuido de Negación de Servicio (DDOS - Distributed Denial of Service)
Ataque de pitufos (Smurf Attack)
Ataque de zombies (Zombie attack)

Estos tipos de ataque tienen rasgos muy interesantes en común, todos implican una o varias computadoras enviando suficientes solicitudes al sistema "víctima" (para llamarlo de algún modo), de manera que éste colapse y no pueda cumplir su función.

Una de las maneras más sencillas de desarrollar un ataque efectivo es el de tener un número de computadoras que podamos utilizar para el mismo y que no sean posibles de rastrear.

El término "botnet" aparece cuando ingenieros crean un código que permite que varias computadoras hagan una tarea en común aprovechando el poder de procesamiento de cada una como si fueran una sola y como toda buena idea, alguien encontró una manera de corromperla.

Existen varios virus que obtienen control de la computadora, crean puertos de comunicación adicionales y reciben órdenes de personas que no son los dueños legítimos, ésta computadora se ha convertido en un bot.

Uno de los virus más conocidos por su facilidad de uso y su infectabilidad es el ZEUS, incluso en el mercado negro se venden los servicios de botnets creadas con esfuerzo y paciencia para efectuar los ataques descritos.

F-Secure ha liberado una página web que le permite saber si está infectado por ZEUS:
http://campaigns.f-secure.com/en_global/zeus/ols/

Le recomiendo una visita ya que el servicio es gratuito

¿Que es la ciberguerra?

Hoy en día estamos en una guerra, una guerra a través de Internet, ¿que significa ésto?.

Todos estamos conscientes de lo difícil que está la vida en ésta época, cómo el dinero es cada vez más difícil de obtener y cómo cada vez más personas buscan maneras "fáciles" de obtener el dinero de los demás.

Hay miles de personas literalmente buscando información rentable o "paydata" para venderla, hoy en día es común la compra y venta de información privilegiada para usos semipúblicos, por ejemplo empresas de investigación de crédito cuyas actividades no son legales en todos los países en los que operan.

Existen personas que utilizan virus tipo troyanos para tomar control remoto de partes de la computadora y vender sus servicios en ataques en contra de sitios e incluso utilizan virus de tipo gusano para robar información de teléfonos y computadoras sobre cuentas bancarias.

Esto es la ciberguerra, la lucha entre protectores de la información en contra de ladrones de información, es la guerra en la que están involucrados todos aquellos que deciden entrar en la Internet, en la que si no tomas consciencia te conviertes en víctima, consulte a un profesional en seguridad si no está seguro de que tan segura está su información.

¿En que puesto estamos en la ciberguerra?

Kaspersky tiene un mapa en tiempo real que utiliza los reportes que obtienen de virus, vulnerabilidades y ataques desde la nube que puede verse en éste enlace

http://cyberwar.kaspersky.com/

Criptomonedas, Moneda del Futuro?

¿Que es una criptomoneda?

Mucho se ha hablado de las criptomonedas, cosas buenas y malas, pero lo cierto es que llenan una necesidad de la sociedad moderna.

Existen muchas criptomonedas, aunque la más famosa y valiosa es sin lugar a dudas el bitcoin, existen criptomonedas privadas ligadas a empresas de transferencia de dinero y existen criptomonedas públicas, se puede ver una lista completa en http://www.coinwarz.com/cryptocurrency, las cuales son utilizadas en diversos sitios como opciones al bitcoin.

¿Cómo se determina el valor de una criptomoneda?

La criptomoneda es un certificado de seguridad con un número de "dueño" que por acuerdo general tiene un valor flotante, su comportamiento es muy parecido a un título negociable o las acciones de una compañía, su valor crece o decrece de acuerdo a varios factores como:

• demanda: como todo bien de mercado entre más personas la compren mayor será su valor
• confianza: como cualquier título valor, cuando alguna empresa que se dedica a la comercialización de criptomonedas sufre un robo o pérdidas, la criptomoneda pierde valor ante el público.
• aceptación: toda moneda es tan valiosa como su capacidad de ser convertida es productos, servicios o en otro tipo de moneda.

¿Qué necesito para tener una billetera de criptomonedas?

La evolución a criptomoneda exige de las personas una nueva forma de actuar con respecto a la seguridad de su dinero, necesitan informarse sobre las llaves públicas y privadas que rigen la seguridad de sus cuentas, por ejemplo, muchas personas utilizan la billetera de criptomoneda en el celular, pero si guardan las llaves privadas en el mismo teléfono existen maneras de copiarlas y obtener acceso a su billetera.

Para explicarme mejor, la billetera de criptomoneda es una larga línea de caracteres que lo identifica a usted, y es generada y registrada por el programa con el que decida guardar sus criptomonedas, el acceso a su billetera se da en dos partes, para depositar y saber que existe, se envía lo que se llama una llave pública que identifica su cuenta, y para hacer cambios y accesar los fondos se necesita un acceso privilegiado que se escribe en un archivo llamado llave privada, el que tenga una copia de su llave privada tiene acceso a su billetera.

¿Quién controla los movimientos de dinero?

La respuesta a ésta pregunta es interesante, todos los movimientos de dinero son públicos, existe un archivo que crece y es mantenido por las computadoras que específicamente se dedican a validar éstos movimientos.

Existe un proceso que es vital para las criptomonedas, el "mineo" o "mining", éste proceso significa utilizar los recursos de procesamiento de la computadora para validar una cadena de transacciones, el premio por utilizar la computadora para éste proceso es un paquete de criptomonedas nuevas en nuestra cuenta.

En pocas palabras todas las computadoras dedicadas al "mining" controlan los movimientos de su cuenta, haciendo el proceso de hackeo difícil si no imposible, el diseño del proceso de mineo hace muy difícil el falsificar una transacción.

¿Es ilegal tener bitcoins?

No es ilegal el tener bitcoins en ningún país del mundo hasta ahora, incluso varios gobiernos estudian la posibilidad de cargar impuestos a las ganancias en ésta moneda.

La anonimidad de las billeteras virtuales ha impulsado a personas inescrupulosas a utilizar varios tipos de criptomonedas en sus pagos por sus productos y servicios ilegales, pero las criptomonedas en sí no son ilegales.

Raúl Morales Víquez
raul.morales.víquez@hotmail.com / http://informatica-raulmorales.blogspot.com

Consultor en informática e Instructor, certificado en Seguridad Informática, Graduado en la Universidad Latina de Costa Rica con más de 10 años de experiencia en diversas áreas de cultura organizacional en empresas multinacionales.

Ingeniería Social, el punto débil de cualquier organización

Hoy en día es común el recibir correos de príncipes africanos que sólo necesitan nuestra información bancaria para salvar sus millones a cambio de una comisión o de loterías de internet que sólo requieren de $200 de impuesto para que nos envía $4 millones de dólares, pero ¿cuantas personas cayeron ante estos engaños?, ¿Cuánta gente sigue cayendo?

El robo de información de la empresa Kickstart, la empresa que ha conseguido capital para las nuevas empresas a través de internet, no fue algo inesperado, por lo menos no para los profesionales de seguridad, sino algo que era de esperarse luego de los grandes robos contemporáneos.

Sony y Target son empresas aún más grandes que han sufrido ataques informáticos en los últimos años, la seguridad informática es algo que ni siquiera es prioridad para los programadores y gerentes de empresas, es sólo otro gasto ¿verdad?, pero cuando pasa algo como esto uno no duda en preguntarse, ¿no es un error lógico y fácil de evitar?

La verdad, difícil de tragar, es que la culpa es nuestra como usuarios, ¿cuántos de nosotros leen los términos de licencia de un programa, o le encargamos a un abogado a que lo haga y nos los explique?, ahora bien ¿cuántos leemos siquiera lo que nos piden en las pantallas emergentes?, ¿cuándo es mejor presionar “cancelar” que presionar “ok”?

Hace poco me llegó un correo que fue novedoso, me guio a una página igual a paypal, una página muy conocida de pago con tarjeta de crédito, y me alarmó mostrándome un cargo al que yo no había accedido, siendo honesto yo ya sospechaba algo raro por el comportamiento de la página, ya que todos los links me pedían “resetear” la cuenta antes de darme más información e insistían en que debía “refrescar” los datos de tarjeta de crédito, ¡Alerta! Las páginas reales te dan la información una vez que uno se autentica, no le piden más datos hasta que uno intente cambiar algo y le informan de lo que pasa sin tener que autenticarse varias veces.

¿Cómo reconocer una página falsa de una real?

1.       Revise el campo de dirección: Las páginas falsas utilizan nombres de dominio alternos o de países diferentes como http://Bancogeneral.freewebs.com o http://Bancogeneral.com.ru

2.       Los enlaces van todos hacia un mismo destino: rara vez los artistas del engaño dedican mucho tiempo en la creación de páginas falsas así que para ahorrar tiempo envían todos los enlaces de la página a obtener su información

3.       Exigen más información de la necesaria para acceder: por lo general estos artistas son muy ambiciosos y apuestan a obtener toda su información de una sola vez

Recuerde

1.       Siempre acceda a sus páginas financieras escribiendo la dirección directamente, nunca desde un enlace.

2.       Si sospecha que entró a una página falsa, ¡Cambie su clave!

3.       Si recibe un email sospechoso, envíelo a la oficina de seguridad informática de su empresa financiera

4.       Elija empresas financieras que tengan oficinas de seguridad informática.

¿Qué es ingeniería social?

El tema de la ingeniería social es utilizar las habilidades sociales de una persona o grupo para obtener información, esto se da a través de:

·         Llamadas telefónicas: Cuando el “administrador del sistema” ocupa su clave para hacer un mantenimiento de su cuenta, los administradores tienen control absoluto del sistema y no requieren de claves para respaldar su correo electrónico.

·         Correos electrónicos: ahora es posible el esconder virus en fotos y archivos de música que se vuelven indetectables para muchos antivirus, solo abra los archivos que vienen de fuentes fidedignas.

·         Acceso físico: hay miles de tipos de dispositivos electrónicos diseñados para copiar y rastrear información.

Recuerde, conforme la empresa es más grande, la información es más valiosa.

El método de defensa de las empresas pequeñas que les permite mantener cero o muy poco presupuesto en seguridad es que el costo de violar su seguridad es más alto que la ganancia potencial, esto no se da en empresas cuya base de datos incluya información sensible de funcionarios de otras empresas o gobierno.

El error de muchas empresas es minimizar el valor de sus activos, es recomendable invertir entre el 20% y el 30% de sus ganancias en diversos dispositivos de seguridad y respaldo para su información.

Ahora siempre va a existir un límite entre lo aceptable y lo inverosímil, un juego de espías es muy poco probable conforme es una pequeña empresa, pero en una gran empresa con negocios de millones de dólares, los micrófonos y cámaras espías no son gran inversión contra la ganancia potencial.

Defiéndase de la Ingeniería Social

La ingeniería social depende del desconocimiento de sus empleados del valor de lo que hacen y de la información  recabada por parte de los intrusos, la manera más fácil de defenderse es negativizar ésta ecuación.

Sus empleados deben conocer el valor de la información interna de la compañía y no revelarla a personas externas, sus mercadólogos deben ser expertos en el arte de revelar información que atraiga a sus clientes y posibles inversores, pero que sea inútil a personas que deseen hacerle daño a su compañía.

Sus auditorías de  seguridad deben apoyar a sus empleados dándoles herramientas para bloquear fugas de información y reiterándoles el valor de su actividad y su valor en la empresa.

Recuerde el 75% de los ataques (maliciosos y accidentales) dentro de cualquier empresa son causados por sus mismo empleados.

Raúl Morales Víquez
raul.morales.víquez@hotmail.com / http://informatica-raulmorales.blogspot.com

Consultor en informática e Instructor, certificado en Seguridad Informática, Graduado en la Universidad Latina de Costa Rica con más de 10 años de experiencia en diversas áreas de cultura organizacional en empresas multinacionales.

Delphi y HTML 5

Una pregunta que ha surgido ésta semana en el trabajo es cómo maneja Delphi la creación de código HTML5.
Delphi XE5 viene con una funcionalidad que permite la creación de aplicaciones Web utilizando un preprocesamiento y un servicio web propio nativo, el HTML5 Builder viene como parte del RAD Studio para las personas que insistan en utilizarlo, pero la respuesta en que ha insistido Embarcadero me parece mucho mejor.
Las aplicaciones que se desarrollan en Delphi para móviles son totalmente nativas como si se desarrollaran en xcode o en eclipse, pero con menos personal y más agilidad, ya que el código fuente para uno es compilable para el otro.
HTML5 hace lo mismo, es cierto, pero dependemos de la compatibilidad de browsers, la evolución del lenguaje, los problemas de seguridad, etc.
Creo conveniente que los lenguajes de programación estén evolucionando a programas más seguros y a reutilización de código, como siempre es delphi el pionero de éstos avances tal y como en los 90's cuando nació, estoy ansioso por ver los siguientes avances.

Auditoría de Seguridad de su empresa

¡Aproveche el diagnóstico y
no permita que su información esté en riesgo!

 Publicado en mercadeo.com

La auditoría de seguridad es una de las herramientas más poderosas e ignoradas para el mantenimiento de nuestra actividad de negocio.

Una auditoría de seguridad completa incluye un análisis de infraestructura tecnológica, un estudio de estrategia de mantenimiento del negocio y un plan de protección integral de los datos de la empresa.

El análisis de infraestructura tecnológica incluye el asegurar que la red de información de la empresa es seguro desde dos puntos de vista, el de asegurar que la información llegue de forma rápida y de que la información no sea vulnerable a lectura o edición de parte de personas no autorizadas.

El estudio de estrategia de mantenimiento del negocio incluye el revisar que estrategias tiene la empresa en el caso de que alguno de los sistemas (Comunicación, Procesamiento o Almacenamiento) falle, ¿Qué tan redundante es mi sistema?, la redundancia de sistemas es nuestra amiga para la prevención de desastres.

El plan de protección integral de los datos es importantísimo ya que representa el activo más valioso de la empresa, su información, así que debemos incluir un plan de educación del personal para que asuman su responsabilidad con la integridad de los datos de la empresa, un 75% de los daños en sistemas empresariales son causados por los mismos empleados ya sea por error o por acción alevosa, por ello el siguiente paso es el crear una política de seguridad de usuarios y “roles” para separar y delimitar el alcance de daño posible, y la última parte del plan es el respaldo de los datos, aunque tengamos total confianza en el sistema que tengamos, debemos planear para la peor situación posible y eso implica que debemos tener copias y copias de la información día  a día (aunque con la tecnología actual podemos utilizar la “nube” como respaldo).

El temor infundado a la auditoría

Uno de los temores más generalizados para evitar una auditoría de seguridad es la posibilidad de encontrar una debilidad dentro de la infraestructura de tecnología de información de la empresa.

Éste temor es comparable al de no ir al médico por temor a que se le diagnostique un cáncer o alguna otra enfermedad, ¿cómo esperamos ser capaces de contrarrestar una infección si no tenemos la valentía de aceptar la posibilidad?

La auditoría de seguridad de sistemas informáticos es una medalla de valor en el historial de nuestra compañía, demuestra el compromiso de la empresa en la protección de los datos de sus clientes y en el aseguramiento de la confiabilidad de los datos.

La seguridad informática no consta solamente de antivirus y evitar que un hacker entre a sus sistemas, esa sólo es una parte ínfima de las responsabilidades de un CIO, un Jefe de información debe asegurar entre otras cosas:

• El asegurar políticas de continuidad del negocio
• Crear un árbol de comunicación y toma de decisiones
• El crear planes de recuperación
• Organizar respaldos de información e Infraestructura

¡Utilice sus mejores prácticas de seguridad como estrategia de mercadeo!

El demostrar que su empresa es sólida y está preparada para sobrevivir a desastres es una excelente manera de atraer clientes, además que garantiza un servicio estable y confiable.

Certificaciones de Seguridad

Una de las técnicas de seguridad que se consideran imprescindibles en el mundo de hoy son las certificaciones de seguridad en su sitio web.

Las certificaciones de seguridad son llaves de seguridad que garantizan a sus clientes que su sitio en la red es suyo, asimismo certifica que cualquier transacción que se haga es segura y que nadie que intente “escuchar” la comunicación entre el cliente y su empresa podrá entender nada.

Al informar a sus clientes de sus certificaciones de seguridad y sus estrategias de auditoría los hará sentir mayor confianza en usted y en su empresa, la inversión será retribuida en mayor afluencia de clientes y la seguridad de que al pasar una situación, su empresa no será afectada.

Raúl Morales Víquez es Consultor en informática e
Instructor, certificado en Seguridad Informática, 
graduado en la Universidad Latina de Costa Rica 
con más de 10 años de experiencia en diversas 
áreas de cultura organizacional en empresas 
multinacionales.