Blockchain, Is it time to adopt it as a new Standard?

When Bitcoin came up a decade ago it was set to create a revolution but it seems it did in more than one front.
Blockchain, its node based decentralized database, was easily overlooked in the early days, but it is now profiled to be the latest trend in secured and indestructible open source databases in the market.
I actually love the explanation given by Forbes Columnist Mark Zilbert 
"" Imagine that you and your best friend Bob are standing on a stage in an auditorium, and there are 1,000 people in the audience. In front of these 1,000 people, you hand your car keys to Bob, and Bob hands you his Rolex. You declare, “Bob, you now own my car.”
Bob declares back to you, “You now own my Rolex.” There are 1,000 witnesses who can each declare, without doubt, that your car now belongs to Bob, and the Rolex belongs to you. If anyone in the audience later tells a conflicting account of who owns the car or the Rolex, the other 999 people will refute it. And, if you take a spare set of your keys and try to give that same car to someone else, the 1,000 audience members will confirm that Bob owns the car, as each of them witnessed the “transaction.” This is the essence of how the blockchain works. ""

What are the perks of Blockchain?

Both Etherium and Hyperledger are open source and share the best perks of blockchain which are:

• Scalability: The Blockchain architecture creates a "node" which is a server or Virtual Machine where the database is hosted, the trick is, the database can add or remove these nodes without hassle so computing power, authenticity checking, etc. can grow as much as needed
• Indestructibility: This is relatable to the internet itself, as long as a single node is working the database will be available, so let's say the database gets attacked and one of the servers goes down (gets rebooted, stalls or the network goes down on the data-center), the other nodes have everything they need to keep working and when the previously damaged node comes online again they'll update him.
• Confidence: One of the main concerns right now is confidence on the database, What happens if someone defaces my data?, If someone deletes my database? If someone adds false data as real?, Blockchain adds native protection to these concerns by adding security headers to the information blocks which will make it next to impossible for hackers to insert false information, also no information gets deleted from a blockchain database ever, every new change is saved as a new version and every update is digitally signed so every audit will tell you exactly who replaced the information and worst case scenario will give you the opportunity to go back to a previous version.
• Non-Repudiation: I mentioned every record is digitally signed, what it means is if you use Blockchain's native security system you can see the signature of the user which is not replicable as it is a digital certificate unique for each device usable by the user.

Blockchain's potential as a ledger is unmatched and it escalates in a myriad of ways when we start comparing the amount of applications which need an inviolable controlled space.

Excellent... But what does this mean..

It means blockchain is an inexpensive technology to effectively create a real ledger for legal, financial and important documents.
For legal documents it provides a way to record any kind of documents in a way they cannot be changed, deface or repudiated (kind of a bureaucratic task nowadays), it can lower the costs of registering and would bring much needed visibility and transparency to these procedures.
Now don't get me wrong, it doesn't mean everyone will have access to add records but it means that whoever is adding these records will be recorded and digitally monitored by the platform.
As an example South Korea has already started this endeavour, they have stressed it's uses in public safety, finance, tourism and logistics.

In the same way logistics is a prime example of what blockchain is capable as a plethora of companies have started to use and enforce it.
We can see Walmart, Samsung, Fedex, IBM, Microsoft, etc. adopting blockchain as a trusted way to recording and controlling their transactions.
Using blockchain, Walmart employees are tracking shipments from the source to their warehouses. After scanning the lots with the store's app, employees can see which farm the fruit came from and where it's stored in the backroom. The technology could help customers understand where their food comes from and could streamline the restocking process as well as saving time and money in recall processes.

My motto is when the cost is comparable the most secure option is the option to go, blockchain is an affordable, escalable and secure database with a design set to save processing power, it is an amazing technology and must be taken advantage of it, reduce time and cost, raise trust and take out irrelevant controls.


Related Links
https://cointelegraph.com/news/south-korean-president-regulatory-innovation-is-question-of-survival

https://www.hyperledger.org/resources/publications/walmart-case-study
https://techcrunch.com/2018/09/24/walmart-is-betting-on-the-blockchain-to-improve-food-safety/
https://www.bloomberg.com/news/articles/2018-04-15/samsung-jumps-on-blockchain-bandwagon-to-manage-its-supply-chain
https://www.forbes.com/sites/forbesrealestatecouncil/2018/04/23/the-blockchain-for-real-estate-explained/#1ffdf5d2781e
https://www.blockchain-council.org/blockchain/top-10-companies-that-have-already-adopted-blockchain/
https://www.techrepublic.com/article/5-companies-using-blockchain-to-drive-their-supply-chain/

Security Automation: The end of the InfoSec Professionals?

Fear, one of the most powerful drivers of all time. Movies, novels, companies, even I had the unfortunate chance to hear the following phrase directed to a coworker: " I can replace you with a script and I will save money".
Automation is the new catchy word in the industrial environment, we see it everywhere: in car factories, coal mines, banks, even in the airports where tasks related to security are being transferred to automatic tellers. But is this suitable for all commercial environments?, the answer is partially.
Humans are valuable (not costly as some executives like to view them) by their decision making capabilities and a new evolution process has been taking place all over the world, thinking people are getting hired, and mechanical people are getting displaced. It is not a matter of justice nor survival, it is a matter of cost vs profit.

Is automation in security viable?

Yes it is but in a partial way, everyday hackers all over the world bypass security controls designed and maintained by fellow humans, automated systems are predictable (which is a terrible word in the business), we can automate tools and monitors but security intelligence? that's not automatable.
No matter how complex is the algorithm (computer process), the fact that all possible routes are programmed means there will be a thousand ways to bypass it, human ingenuity and logic is paramount to stop cybercriminals.

Don't take me wrong, every company should invest in security means and tools to aid the process and some automation is necessary to analyze the tens of thousands of transactions the average enterprise performs daily, but every machine, every analyzer in the market will depend on search patterns and every search pattern will cause a situation known to security professionals: false positives and negatives.

A false positive is an event which triggers an alarm but is not a situation worthy on it, like a common employee performing a click on a file he is not authorized to and not getting access.

A false negative is a situation where the alarm should be triggered but it is not like the employee in question getting access to the file he has not been authorized to read/change/delete.

These factors are part of the everyday work of a cybersec engineer and a great deal of our training, human instincts become the differentiator to detect the anomalous behavior.

Then what can automation do?

 To detect these factors which allows us to identify the possible intrusions, we would have to manually check  all servers under our watch. which would severely raise the amount of people involved, instead the security orchestration tools allow us to see the activity in various fronts even in a graphical way enabling a major coverage on our duties.
In words of Eran Barak, CEO and Co-Founder, Hexadite: "All of these security automation technologies free up overtaxed security resources, allowing security teams to be less focused on mundane – but essential – tasks, and more focused on strategic initiatives that will make their organization more secure. " [1]
Automation needs to be seen as a tool and as any tool it is only good for the person trained to use it, we cannot expect to take in someone trained to be a network technician and takeover cybersec whithout so much than a manual.

Resources

https://www.securityweek.com/five-steps-security-automation
https://www.dflabs.com/blog/security-automation-vs-security-orchestration-whats-the-difference/
https://www.darkreading.com/operations/the-best-and-worst-tasks-for-security-automation/d/d-id/1332074
https://www.helpnetsecurity.com/2019/04/16/it-security-automation-skills/
https://www.information-age.com/staff-skill-shortages-security-study-123473231/

[1]. Explaining security automation and its evolving definitions, Network World September 2016

https://www.networkworld.com/article/3121275/explaining-security-automation-and-its-evolving-definitions.html

Information Security, Why is it so necesary?

Uso del Change Manager para Auditoría de Bases de Datos

La auditoría de Bases de Datos es una etapa importantísima del control interno y básica para mantener la seguridad de la información en la empresa.

A continuación voy a explicar parte del proceso más popular de hacerlo y el porqué del mismo.

En la mayoría de las empresas tenemos por lo menos 2 ambientes de base de datos: Desarrollo y Producción (en algunos casos se mantiene un tercer ambiente llamado pruebas).

El ambiente de producción es el ambiente estable y comprobado en el que se basa nuestro sistema y en el que dependemos para nuestras operaciones día a día.

El ambiente de desarrollo es el ambiente donde haremos los cambios que evolucionaran nuestro ambiente de producción.

Cada vez que se decide hacer una serie de cambios al ambiente de producción debido ya sea a nuevos procesos o evolución de funciones, éste debe de hacerse y probarse en el ambiente de desarrollo; una vez probado y refinado se puede considerar la implementación al ambiente de producción.

En los ambientes de bases de datos, tanto como en el ambiente de desarrollo de aplicaciones, no existe una estructura inmaculada y la base de datos puede cambiar varias veces por lo que una cultura de versionamiento es altamente recomendada.

Este proceso hace que la tarea de transformar exactamente la versión del ambiente de desarrollo a producción sea invaluable.

Esta explicación modela la primera circunstancia en la que el Change Manager de Embarcadero demuestra su utilidad para la empresa y para el ahorro de tiempo de los DBA.

El Change Manager compone 5 tareas básicas:

1.       El versionamiento de la configuración del motor de base de datos: ésta tarea nos permitirá guardar un documento con los valores del motor, tamaño de buffer, variables de sistema y demás.

2.       El versionamiento de los esquemas de la base de datos: ésta tarea nos permite respaldar la estructura de las tablas que le permitamos, así como el sql para reconstruirla desde cero.

3.       La comparación de la configuración del motor ya sea entre dos servidores en vivo o con un respaldo hecho con el change manager, lo cual nos permite ver las diferencias asi como el DDL necesario para transformar la versión destino a una copia perfecta de la versión fuente.

4.       La comparación entre esquemas de bases de datos ya sea en vivo o contra un archivo de versión hecho en Change Manager, éste proceso crea un informe de todas las diferencias y la codificación sql para implementar las diferencias e igualar los esquemas.

5.       La comparación de datos entre tablas idénticas en servidores en vivo diferentes, ahora ésta funcionalidad no solo permite la comparación, sino que también permite la sobreescritura de los datos y su enmascaramiento.

El enmascaramiento de los datos es una herramienta moderna para problemas modernos, en una sociedad empresarial con cada vez más costos, el uso de terceros para el desarrollo de nuevos procesos es imperativo, asimismo la protección de los datos, así que aunque nuestros desarrolladores requieren de una carga de datos similar a la de producción no necesariamente significa que le demos los datos exactos de nuestra BD, asi que podemos ocultar los datos que sean críticos de negocio y ofuscar los otros en los que su análisis pueda ser contraproducente, dando así una base de datos de desarrollo la cual sólo representa la cantidad de datos sin mostrar una imagen exacta de los movimientos en producción.

La ingenuidad y utilidad de una herramienta que hace bien su trabajo son las ventajas competitivas que ofrece el Change Manager de Embarcadero y recomiendo efectivamente su prueba para éste tipo de tareas en su empresa.

Ideas para la auditoría de Sistemas

La auditoría de sistemas es un tema que puede llegar a ser complejo en la empresa, como todo tópico tiende a ser abordado desde distintos puntos de vista y no deja de ser válido el aspecto técnico contra el aspecto administrativo.

Desde el aspecto administrativo se esperan tener números que demuestren la efectividad de las reglas tomadas y de los ahorros conseguidos.

El aspecto técnico implica la rapidez de las tareas y los ahorros de tiempo para permitir el hacer otras tareas.

Los gerentes esperan de sus jefes técnicos la generación de simulaciones con lo que costaría en tiempo vs dinero invertido vs posible impacto para asegurar la necesidad de fondos para sus actividades, es parte de su set de conocimientos y necesidades.

Para los Jefes Técnicos es implícita esa necesidad y es difícil el concepto de generar aún mas trabajo para las actividades críticas del negocio.

Los dos lados de la moneda son difíciles de conciliar pero no imposible, varias instituciones han diseñado modelos de gobernabilidad de TI basados en las diferencias de conceptualización, convirtiendo tareas criticas en métricas medibles.

Para una persona técnica a veces es complicado el convertir las posibilidades de desastre en algo cuantificable, tan sólo la pérdida o corrupcion de datos parcial implica una investigación costosa y una posible pérdida monetaria y de confianza.

La comparación de cambios, el seguimiento, la responsabilidad documentada  y una adecuada política de proceso ayuda a reducir la posibilidad de factores impredecibles, por otro lado permite una rápida recuperación ante accidentes.

Es importante para todos los responsables en una empresa  el involucrarse y tratar tanto de comprender a sus colegas como el facilitar la comprensión de sus responsabilidades para mejorar la eficacia de los procesos en la empresa.

Actualidad 101 o como nuestros datos se interconectaron

Actualidad 101 o como nuestros datos se interconectaron

Hace tan solo 20 años la mayoría de nuestros datos (por lo menos en América Latina) eran compilados en papel y almacenados en archivos (cajas físicas) de metal, los procesos para tener acceso a esa información estaba diseñado como todo en esa época en acceso físico, asimismo las personas que entraron en esa época a trabajar fueron entrenados con esa mentalidad.

Poco a poco, conforme las computadoras fueron convirtiéndose en las herramientas que son hoy en día,  la información fue transfiriéndose a archivos digitales, pero no se conectaban a las computadoras entre sí, de manera que mantenían un estatus similar al archivo físico en cuanto a que se necesitaba acceso a la máquina específica que contenía los datos y generalmente se imprimían ya que no había otro proceso diseñado para utilizarlos más que en su forma física.

Ahora las computadoras y oficinas están interconectadas, y además de entre ellas, la mayoría está también conectada a la autopista de la información: Internet.

Lamentablemente un hecho olvidado por el personal entrenado en la época donde no existía ésta interconexión es el hecho de que internet es una autopista de dos vías.

Ventajas de la interconexión

La interconexión con internet presenta una forma barata y comparativamente eficiente de enviar archivos y mensajes a colegas en otras partes del mundo.

Acelera el intercambio de información permitiéndonos ser más eficientes y tomar decisiones informadas en un lapso de tiempo menor.

Nos permite consultar más fuentes de contenido y hacer investigaciones más profundas en menor tiempo.

Desventajas de la interconexión

Es más difícil mantener la privacidad de los datos que utilizamos día a día, existen cientos de personas en el mundo que hacen de su trabajo el investigar sobre personas y empresas buscando la manera de acceder a los datos privados, la seguridad ya no se limita a poner un guarda o colocar cámaras, éstas conexiones son invisibles y necesitan aparatos de análisis de conexión y cortafuegos (firewalls) para detener a éstas personas y proteger los datos.

Como se conectan éstas personas a mis datos, la computadora del trabajo y/o al servidor de almacenamiento?

La respuesta es simple y concisa, de la misma manera en que usted lo hace!

Las personas que intentan éste tipo de operaciones tienden a ser gente con gran conocimiento técnico y acceso parcial o total al ambiente de alguna manera, sea física o digital.

Se empieza por analizar a la empresa ya sea de manera remota: utilizando programas de análisis de vulnerabilidades o colocando programas de análisis de tráfico. O de manera física: haciendo ingeniería social, colocando aparatos de bitácora de teclas (keylogers), analizando el contenido de los cubículos (claves escritas en papel, fotografías y demás).

La meta es lograr algún nivel de acceso a los archivos de la compañía y determinar si tienen algún tipo de valor monetario para alguien y ofrecerlo al mejor postor.

Es responsabilidad de cada persona de seguir los comportamientos de seguridad recomendados para evitar el robo de información en la empresa o en su hogar.

Conceptos administrativos de la gestión de seguridad en la empresa

Desde el punto de vista de seguridad de la información hay muchos conceptos que pueden sonar conflictivos y confusos al compararse con sus contrapartes y que dependen del contexto de la arquitectura de servicios implementada.

Una infraestructura bien definida es dividida en capas para controlar el acceso tanto interno a información privilegiada como externo a la red entrante y saliente, esto se hace para delimitar la cantidad de puntos críticos que permitan el acceso. La idea es simple, hay que mantener el servicio sin abrir demasiados nodos, muchas empresas utilizan clusters como gateways de salida para que aunque son reconocidos como un solo servidor en caso de que falle cuenta con un respaldo que tiene su misma configuración.

¿Qué tiene esto que ver con la gestión de la seguridad?

Uno de los aspectos más importantes de la gestión es el llamado “Inventario de activos”, el cual identifica la configuración, nivel de parches, software instalado, función, nombre del nodo y demás detalles relevantes. Este documento es la guía para todo lo que hay que actualizar en la infraestructura tecnológica y es compuesto por varios procesos:

Inventario Físico: es la toma física de recursos, ejemplo: el registro de servidores, monitores y demás activos físicos de la empresa asimismo comprende la configuración de cableado utilizado.

Inventario lógico: es el registro de las funciones de cada nodo y la configuración recomendada así como el nivel de parche recomendado.

Auditoría de vulnerabilidad: se utilizan herramientas de ataque de penetración para comprobar vulnerabilidades conocidas y sus arreglos

¿Por qué agrego la auditoría de vulnerabilidad entre los procesos que componen el Inventario de Activos?

Todos los días se descubren nuevas vulnerabilidades a los sistemas más utilizados comúnmente denominadas como “0-day”, estas vulnerabilidades son publicadas y no se limitan a los sistemas operativos, pueden afectar a gestores de contenido como Joomla y Wordpress, incluso el firmware de ciertos firewalls.

La auditoría de vulnerabilidad es un proceso que debe hacerse periódicamente para evitar que una de estas vulnerabilidades descubiertas sea utilizada por algún operador malicioso y cerrar cualquier agujero.

De identificarse una situación donde un ataque constante o focalizado es importante implementar un protocolo de auditoría de vulnerabilidades enfocándose en las vulnerabilidades atacadas, es importante garantizar la impermeabilidad en contra de éstos ataques y la seguridad de la información de la empresa.

Es extremadamente importante mantenerse al día con la protección que le damos a nuestra empresa y una infraestructura adecuada es la mejor manera de hacerlo de manera eficiente.