Humans in Information Security

People have a lot of prejudices when trying to identify the different roles in Information Security for the different position scales in the companies, it is easy to oversimplify the responsibility levels as it is human behavior.

Everybody knows the different issues of IS in any company, actually companies and media has even blown them out of proportion sometimes, it has to do with a combination of creativity and common sense where everything begins:

A typical modern company has the following macro divisions on their workforce:

·         End Users

·         Information Security Officers

·         Top Executives

End users

End users take the brunt of the decisions of both ISO’s and TE’s and are mostly dubbed as the “enemies” of the ISO’s… there is nothing farther from the truth as the people who knows most about the micro management of the company is the End Users!!

They are the people who faces day by day the challenges and attempts of hundreds of wannabe small time criminals who want to obtain information or any kind of advantage from our company.

End Users are our first and best line of defense against information criminals and they deserve the support and training from the Information Officers and Top Executives.

ISO’s have to explain carefully the role of the EU’s in the security strategy, in this task it is imperative to keep the explanation in a mildly-technical manner, and this speech has to be simple, to the point and focused in their role, humans tend to lose focus in topics which are perceived as outside their area of expertise.

EU’s have to understand their responsibility on the business process and the potential impact of their actions in their job and the organizations to realize their full potential as partners in the security of the organization.

Information Security Officers

Information Security Officers are called “Good Guys” in the company because they are the rule makers and protectors of the realm, but it can easily become the contrary.

Information Security inside of an organization is a delicate matter as it needs to create a synergy between the business needs, the business process and, well, security.

ISO’s tend to become entrenched in the last factor only, they tend to become a “NO” man, which doesn’t go too far from becoming an obstacle for the company.

The primary task of an ISO is to listen to the needs of the business with the Top Executives, then listen to the way it is currently executed by the End Users and basically create a Security Strategy using a combination of both point of views.

The second task of the ISO is assuring this strategy will not hinder EU’s while covering TE’s objectives, this part can be done by designing and/or implementing tools and procedures with the EU’s.

The responsibility of the ISO is to protect the business, not only the information but the business too and this means protecting the way it is done too.

Top Executives

Top Executives are very important for the company as they define the macro operations of the organization, they help to design the security strategy and must help to enforce it by using their skills to create a culture out of this strategy.

TE’s tend to forget this second part and stay in a passive role, thinking that after issuing the order the responsibility is exclusive to the ISO, but the company’s security is not as simple.

ISO’s by definition cannot change business procedures as required by the strategy as this is a TE function, so the TE’s have to be involved on every adjustment to the business processes.

ISO’s have to explain their role and the implications of it to the TE’s so it is imperative for it to be described in a business language and be very careful with the technical language involved, as previously stated it is common in human beings to ignore ideas unclear or not perceived as part of their expertise.

Conclusion

In the matter of security an organization cannot leave its responsibility and execution in hands of one individual, it is a work for all echelons in the business to develop a security culture which will protect its employees and their jobs.

Security is not a new field but it is one of the less developed and new threats on new business fields are forcing a due sophistication on its method which calls for all disciplines to embrace new ways to get the job done without giving away our hard work to petty criminals

Criptología Clásica

La criptografía clásica evolucionó de la necesidad de enviar comunicaciones sin que personas no autorizadas pudieran darse cuenta del significado de las mismas, la confidencialidad de la información empezó a tener relevancia en el momento en que las vidas y fortunas de personas con cierto poder dependían de que solo las personas correctas compartieran la información.

Los primeros códigos como el César se caracterizan por el cambio de letras de sus posiciones originales o su escritura en dispositivos especiales que dificultaban su correcto ordenamiento para su decodificación.

La siguiente evolución fue el de cambiar el orden de las mismas o transposición, que da a lugar a la aparición de codificación con claves, el nivel de sofisticación a ésta era premecánica se obtiene cuando Giovan Battista Bellaso combina la cifra de César y la transposición con clave en un solo método que luego sería atribuido a Blaise de Vigenere y aún hoy es conocido como la cifra de Vigenere.

La cifra de vigenere fue el último de los criptosistemas que no utilizaba herramientas para ser encriptado y se creía que mientras no se supiera la clave utilizada no podría ser quebrado.

La idea es que al utilizar un alfabeto diferente para encriptar cada letra aquel que no supiera cual alfabeto fue utilizado no puede adivinar la letra correcta que permite leer el mensaje.

Esta misma idea se utilizó de manera más compleja años después con la ayuda de máquinas, en el caso de la segunda guerra mundial, la más famosa resultó ser la máquina Enigma.

La máquina Enigma gracias a sus diferentes discos y opciones permitía 158,962,555,217,826,360,000 alfabetos, lo cual era más que suficiente para que sus mensajes no fueran decodificados nunca…

A no ser por la misma razón que cifrados aún más seguros son rotos hoy en día, Ingeniería Social.

El ejército alemán cometía errores diarios de exceso de confianza que le facilitó al ejército aliado la tarea de decodificar sus mensajes enormemente.

Por ejemplo, durante sus preparaciones para invadir Polonia, por error envían una de las preciosas máquinas por correo normal, la máquina, al ser enérgicamente solicitada por la embajada alemana, es interceptada durante un fin de semana por la inteligencia polaca y es analizada a fondo hasta su entrega el lunes.

Asimismo su exceso de confianza los lleva a cometer un error imperdonable en el área de la criptología el cual consiste en comenzar TODOS sus mensajes con la misma frase, dando una pista ENORME de cuál era su configuración y permitía a los aliados a configurar sus versiones de la máquina de la misma manera.

Security Culture

A company is a living being and it creates rules for its employees that define its behavior. Companies that want to establish a culture of security must recognize the needs of the people who work in the company and balance the challenges of security checks with the business processes that give a company vitality. Implementing security is not only about the safety of your company, but also about the safety of its employees. A company's safety culture, a set of policies and guidelines that help establish a safety culture in your company.

After the introduction of the security culture, time tends to override it, but it is about demonstrating through workflows how to secure the information associated with it while at the same time defying competition and external threats.

The culture of a company is not the sole property of the security bureau; people are the driving force behind the company that is alive, and planning, management, and motivation relate to people. Successful companies are constantly evolving and the processes, tools and information flows are evolving with them. Security ideas are rarely soft and the security culture sometimes appears rigid and intransigent, depending on the needs set at the time of design, but sometimes it is even more rigid than the software itself. The collective behaviour of each department is guided by a security policy that encourages all members of this team to protect their information.

We are in a war against hackers, fraudsters and information thieves and we must protect ourselves. Security is an armament of accountability and confidentiality, but it should not be seen as an obstacle; it is the protection that soldiers provide.

It is a mistake to believe that security simply means maintaining the status quo of the company, but that it should be used and used to improve business processes. Resentment over the procedures imposed will lead to the proverbial tug of war; staff will rebel against the unnecessary blocking checks they consider unnecessary or inconvenient; they will return to reports containing missing or inaccurate information, where management will make decisions based on the wrong data, the most innovative ideas will be burdened by processes and the process will cause problems. Resistance to change stems from ignorance; security officials and leaders in blue governments, perceived as power-driven and self-determined, enact new rules and procedures, believing that a simple "no" is not an option, while the security department should have found a way to implement the original idea and protect it from kidnapping and theft. If people are convinced that the rules, procedures or instruments you propose are working, they are less likely to engage in what would otherwise be skirmishes, and your company will either be stuck, disadvantaged over its competitors, or the side that will lose the battle. Any plan to implement a good culture must be accompanied by the sound training and motivation behind the plan; employees must all be empowered to draw up and implement safety plans for themselves by bringing their experience into their daily operations.

Some managers still believe they are in the 21st century and do not apply concepts such as "culture," and technical knowledge has not been refined or updated. The Latin American market, which has the greatest security potential in the economy, according to a recent study by the Institute for Critical Infrastructure Technology.

The most common way to prevent security is ignorance, which means relying on information that is volatile, free, or permanent. The perceived value of potential break-ins is less than trying to penetrate the system, and the concept that was absolute yesterday is obsolete today. Virtual security is an elusive concept, but even government departments have taken a more proactive approach to security than their private-sector counterparts in recent years. This is shocking news, because the level of security can only be increased if most people working in public institutions understand all security concepts, including physical security. They are small, poorly connected, companies have very little ability to actively protect themselves against attacks and other viruses, and virtual security and security are elusive concepts.

Ataques de negación de servicios, donde están sucediendo?

Como parte de mi investigación para mantenerme al tanto de lo nuevo en seguridad informática me topé con éste sitio:

http://map.ipviking.com/

Este sitio muestra en tiempo real los ataques de tipo DDOS detectados en el mundo y el país de origen-destino.

Mas allá de la parte informativa, abre los ojos la cantidad de ataques que empresas pequeñas sufren a manos de éstos mercenarios, recordemos en centroamérica los ataques a los sitios web de Migración en Honduras y al periódico Universidad en Costa Rica.

Los hackers no solo buscan objetivos grandes, a veces atacan empresas pequeñas para probar sus habilidades, y si no tiene un mecanismo de seguridad que le permita, en el peor de los casos, recuperar su información, está a merced de quien pueda entrar.

Una empresa responsable debe tener un oficial de seguridad informática debidamente informado que le permita defenderse y defender su negocio.

Un firewall inteligente puede filtrar los paquetes repetitivos de una misma dirección IP, por ejemplo el ASA de CISCO.

Mantener una adecuada política de respaldos puede evitarle desde dolores de cabeza hasta la quiebra de su negocio.

Los ataques de negación de servicios son más comunes de lo que cree, esperará hasta ser el próximo?

Oracle 12c Está preparado para una sorpresa?

Oracle 12c es un cambio de paradigma y los DBA que no hayan investigado se van a sorprender de los cambios implicados.

Afrontémoslo, Oracle ha cambiado muy poco al través de los años y ésta versión realmente cambia todo el paradigma al que nos ha tenido acostumbrados.

Oracle 12c implementa una instancia en memoria, pero la divide en una partición "root" que controla varias bases de datos bajo el concepto de "pluggable databases", cada una de estas bases de datos son parcialmente independientes tanto en usuarios como en espacio en disco.

Esto hace totalmente necesario renovar las herramientas que utilicemos para manejar nuestro Oracle previamente a migrar a 12c.

Por ejemplo el PowerStudio XE5 de Embarcadero es compatible con 12c así que es un magnífico set de herramientas para empezar.

Desea una aplicación móvil? Hágala bien!

Su empresa es un proyecto que usted ha alimentado, por el que usted ha invertido horas de su vida y la de sus seres queridos, por ello está tan viva como lo está usted, su misión es ayudarla a evolucionar en éste nuevo ambiente.

Hoy tenemos a clientes para los cuales visitarlo es una inversión de tiempo y recursos que sólo harán si están convencidos de que sus productos llenan sus expectativas, incluso si pueden ni siquiera lo visitarán para comprarle.

La industria de comercio en línea ha revolucionado el mercado y su evolución a dispositivos móviles ha sido un siguiente paso lógico, ya no se le pide al usuario que se quede frente a su laptop todo el tiempo para poder ganar una subasta, ahora la sigue desde su celular.

Que puedo hacer para que mi empresa participe de ésta cultura?

El primer paso es el clásico de la administración de negocios, haga un estudio de Fortalezas, Oportunidades, Debilidades y Amenazas (FODA) de su empresa.

Con ese estudio, analice cuál es la entrada principal de dinero en su empresa, y enfoque su estrategia en fortalecerla y complementarla.

Su aplicación móvil debe seguir el esquema que usted descubra y proveerle al cliente de un valor agregado sobre su actividad, tal y como comprar desde su dispositivo, aprender sobre sus productos y obtener ideas y/o ayuda sobre como utilizarlos en su actividad.

No tema ser creativo!

Su aplicación puede ahorrarle mucho dinero siempre que pueda incorporarla correctamente a su ciclo de trabajo, recuerde que la tecnología no necesariamente reemplaza su estructura, sino que también puede complementarla.

Cree algo que le de vitalidad a su negocio, que le recuerde a sus clientes cuál fue su razón de ser desde el momento en que fundó su compañía, que lo motivó y cuál fue la razón de la aceptación que ahora goza.

No se quede atrás y participe de la revolución móvil

Programación para Móviles... Gratis!

Sea parte de la revolución en tecnología

Embarcadero Technologies ha creado un Framework llamado Appmethod que permite el desarrollo rápido de aplicaciones enfocado a tecnología multiplataforma y así crear apps de manera rápida, segura y nativa.

Appmethod permite trabajar en C++ o en Objective Pascal. Su código es compilable a IOS, Android, PC y Mac sin hacer ningún cambio.

Usted puede crear aplicaciones que utilicen las tecnologías Cloud, BaaS, Middleware Application Server o conectarse directamente a su Base de Datos Empresarial de manera directa y segura; ésta herramienta incluye los componentes de seguridad más utilizados en el mercado.

Appmethod le permite crear aplicaciones para Android GRATIS; utilizando un sistema de suscripción, adquiera lo que usted o su negocio demanden.