viernes, 29 de octubre de 2010

II Congreso Internacional Menores en las TIC: Reclaman mas seguridad en Internet en el currículum escolar

Buenas a todos, los pasados días 26 y 27 de Octubre se celebró en el Palacio de Congresos – Recinto Ferial Luis Adaro de Gijón el II Congreso Internacional Menores en las TIC.

En este congreso estuvo mi gran amigo Juan Luis Rambla, nombrado MVP de Seguridad de Microsoft de manera consecutiva durante los últimos 5 años, hablando sobre el negocio del malware en Internet. Su charla fue acompañada de una interesante demo en la que mostró como funciona un troyano reverso. A continuación os dejo las diapositivas de su charla para que podáis descargarlas:

El resto de las presentaciones podéis encontrarlas en la página oficial del evento: http://menoresenlastic.fundacionctic.org/

En el evento intervino también José Luis Zatarain, director de proyectos de la asociación de protección del menor en el uso de Internet y las nuevas tecnologías 'Protegeles', que explicó a la agencia EFE que numerosas organizaciones desarrollan labores didácticas a través del voluntariado en los centros escolares, aunque ha lamentado que la amplia demanda impide llegar a todos.

Zatarain comentaba que los menores se han convertido en esta nueva era un uno de los “grandes creadores de contenidos en la red” y ha remarcado el peligro que las conductas lúdicas de los menores conllevan, que en numerosas ocasiones se convierten en "dañinas", incluso sin mala intención.

Continúo afirmando que hay que concienciar a los jóvenes con que respeten a sus compañeros en internet. Además, recordó que la Ley no permite colgar una foto de una persona sin su consentimiento por lo que los jóvenes tienen derecho a denunciar

Finalizó con una gran verdad comentando que en su opinión, es fundamental que los niños "se lo piensen dos veces" antes de colgar una foto porque quizás "dentro de veinte años" o en un plazo menor se arrepientan.

Como comentario personal me gustaría añadir a las palabras de José Luis Zatarain, que cuando subimos algo a Internet, va a estar ahí por siempre y siempre. Ya sea una foto, un texto, etc. aunque creamos que podremos borrarlo en un futuro y olvidarnos de su existencia, ¡esto no ocurrirá jamás! Recordaros que los crawlers de Google, por poner un ejemplo, peinan la red y cachean toda la información que encuentran, sitios web como el de archive.org almacenan históricos de las páginas web y un largo etc. Por lo que antes de subir contenido a internet, pensároslo dos veces, porque como dice Zatarain, quizás en unos meses no, pero en unos años podréis arrepentiros.

Saludos!

jueves, 28 de octubre de 2010

Firesheep, plugin para firefox posibilita el “hacking de un clic”

Buenas a todos, en la Toorcon celebrada los pasados días 20, 21 y 22 de Octubre en San Diego, se presentó un nuevo juguete en forma de extensión para Firefox llamado Firesheep. Esta nueva extensión permite hacer Session Sidejacking de manera automática, abriéndonos en las pestañas de firefox todas las sesiones abiertas de los usuarios que haya conectados en nuestra red. Es decir, imaginaros por ejemplo que estamos conectados a la Wifi de un vecino y tenemos instalado tanto Firesheep como Winpcap (en el caso de Windows, al igual que haríamos con Caín, Wireshark, etc. para poner nuestra tarjeta de red en modo promiscuo y recibir paquetes de red) y nuestro vecino tiene el Facebook, Twitter, Tuenti, Gmail, Hotmail y un largo etc. abiertos, con un solo clic estaremos viendo casi toda su vida a través de nuestro navegador sin necesidad de tener ningún conocimiento de seguridad.

Para los que no conozcan en que consiste el Sidejacking, se puede resumir como una técnica que permite esnifar cookies y reemplazarlas en los sitios web suplantando la identidad de la victima.

Una solución podría ser conectarse a los sitios web por https, por ejemplo usando otra extensión de Firefox, Force-TLS, que fuerza la conexión de manera segura.

A continuación os dejo algunas capturas de Firesheep:


Saludos!

martes, 26 de octubre de 2010

Proceso de Continuidad del Negocio: ¿Qué hacer tras un incidente de seguridad en nuestra organización?

terremotoEl proceso de continuidad del negocio es el proceso clave para continuar con las actividades de una organización tras sufrir un incidente, permitiendo recuperarse de los problemas y logrando mantener los procesos de negocio con normalidad de la manera mas eficiente posible.

Algunos de los incidentes que impidan poder continuar con el negocio pueden ser ataques de hackers, terrorismo, malware o simplemente errores humanos, también pueden producirse desastres naturales como terremotos, incendios, inundaciones, fallas del suministro eléctrico (las mas comunes), cortes en la red de telefonía, etc. Cualquiera de estos incidentes producirán algún tipo de impedimento en las labores de negocio de una organización y será necesario contar con planes de contingencia para protegerse cuando alguno de ellos ocurra.

Cada tipo de incidente deberá poseer un tipo de acción diferente para ponerle solución de la manera mas óptima posible, es por ello necesario realizar una clasificación por niveles en función de su gravedad:

  • Crisis: incidentes que impiden continuar con las tareas normales de una organización durante un largo periodo de tiempo, produciendo graves pérdidas económicas.
  • Mayores: incidentes que producen un impacto negativo sobre algunos procesos de negocio.
  • Menores: incidentes que no producen impactos materiales.
  • Sin importancia: incidentes que no producen daños significativos.

Además, deberemos clasificar los sistemas de nuestra organización al igual que hemos hecho con los tipos de incidentes, por niveles de criticidad:

  • Crítico: Sin ésta función no pueden continuar determinados procesos en la organización.
  • Vital: Ésta función se podría realizar de manera manual por un período corto de tiempo.
  • Sensitivo: Ésta función se podría realizar de manera manual por un período largo de tiempo a un coste bajo.
  • No sensitivo: Ésta función podría ser prescindible por un largo periodo de tiempo.

Como intuiréis tras producirse un incidente, cuanto mas tiempo pase nos costará menos dinero el proceso de recuperación, pero perderemos mas dinero por la ausencia de determinados servicios, tal y como representa la siguiente figura:

image

Por ello es recomendable adelantarse a estos acontecimientos y contar con instalaciones de respaldo que permitan poder continuar con las actividades de la organización mientras se solucionan los problemas. Los tipos de instalaciones de respaldo de hardware son los siguientes:

  • Hot site: lugar donde contaremos con los elementos necesarios para ejecutar todas las actividades que se hayan definido como necesarias para continuar con el negocio. Los equipos y los elementos de red deben ser completamente compatibles y deben estar bien configurados para evitar errores a la hora de migrar las actividades de la organización original. Este tipo de servicios es caro.
  • Warm site: parecido al Hot site, pero no suelen contar con equipos configurados, por lo que requerirán mas horas para poder migrar las actividades de la organización, a cambio, son mas económicos que los Hot site:
  • Cold site: cuentan únicamente con el ambiente básico, luz, agua, conexión a internet, etc. Será necesario transportar equipos y montar el sistema completo. Es el mas económico.
  • Instalaciones duplicadas: cuentan exactamente con los mismos elementos que el sistema original y obligatoriamente deben encontrarse en un lugar diferente, para evitar que los mismos incidentes puedan haberle afectado. Son el sistema mas caro, pero el mas efectivo. Es el utilizado por las grandes organizaciones.
  • Acuerdos recíprocos: en ocasiones, algunas organización firman contratos para usar los sistemas de otra organización cuando sufren algún tipo de incidente. Suelen tener problemas de configuración, ya que no todas las organizaciones trabajan de la misma manera y con los mismos elementos SW y HW.

Hay que tener muy en cuenta que si nuestra organización sufre un incidente y no tenemos un buen proceso de continuidad del negocio, no contaremos ni con el entrenamiento suficiente, ni con los elementos necesarios para minimizar el daño y recuperarnos en el menor tiempo posible, pudiendo sufrir una pérdida larga en alguno de nuestros servicios y dañando así nuestra imagen ante clientes, perdiendo dinero al no continuar con nuestros procesos habituales e incluso perdiendo dinero en indemnizaciones a los clientes por no cumplir con los requisitos mínimos de entrega de servicio firmados en los contratos, como ha pasado por ejemplo con algunos ISPs.

Este proceso, es uno de los mas importantes en la norma ISO 20000, de gestión de los servicios TI y en ITIL, la biblioteca de infraestructuras TI, en ellas encontraréis mas información sobre el proceso de continuidad del negocio.

Hasta el próximo post, saludos!

lunes, 25 de octubre de 2010

El Blog de Calles queda en el puesto 15 a mejor blog de seguridad en español

Buenas a todos, hoy ha sido publicada la clasificación final en los premios bitácoras 2010, donde he quedado en el puesto 15 en la categoría a mejor blog de seguridad.

Para mí es un placer haber formado parte de este concurso y haber quedado en posiciones tan altas en la lista, rodeado de tantos genios de la seguridad en ese TOP25 como los chicos de Security By Default, los de Informática 64 y antiguos compañeros de trabajo y con los que colaboro habitualmente, representados por “el gran maligno”, y entre los que se rifará con toda seguridad (espero, porque así lo merecen) el primer puesto, la gran Hispasec o Pedro Sánchez de Conexión Inversa:

image

En este TOP25 se echan en falta algunos blogs muy importantes como por ejemplo El Diario de Junito con su windowstips.wordpress.com, uno de los mayores cracks en forense o el de legalidadinformatica.blogspot.com de Juan Luis Rambla, experto en leyes, LOPD, análisis forense, auditorías y mil cosas mas, además de mi mentor personal desde que empecé a llegar a la silla para ponerme enfrente de un ordenador con apenas 4 añitos.

Gracias a todos los que habéis votado pensando que debería estar en esta privilegiada lista y prometo seguir actualizando este blog día a día con contenidos cada vez mas interesantes. De momento para ésta semana y la siguiente tengo algunos lanzamientos pendientes de contaros Guiño

saludos!!

Listado de herramientas para auditoría de seguridad

Buenas a todos, a lo largo de los últimos años he ido haciendo una lista con las herramientas, utilidades web y distribuciones de Linux que mas suelo utilizar en las auditorías de seguridad, a continuación os listo algunas de las principales clasificadas según su utilidad:

Footprinting y Fingerprinting: búsqueda de información

  1. ANUBIS (Web oficial: http://elblogdecalles.es/index.php?option=com_content&view=article&id=1&Itemid=3)
  2. MALTEGO (Web oficial: http://www.paterva.com/web5/)
  3. NSLOOKUP (Información: http://es.wikipedia.org/wiki/Nslookup)
  4. VISUALROUTE (Programa: http://visualroute.visualware.com/)
  5. WHOIS (Programa: http://www.whois.net/)
  6. NSAUDITOR (Web oficial: http://www.nsauditor.com/)
  7. LA FOCA (Programa: http://www.informatica64.com/DownloadFOCA/)
  8. HTTPRINT (Web oficial: http://www.net-square.com/httprint/)
  9. LDAP BROWSER (Programa: http://www.ldapbrowser.com/)
  10. ARCHIEVE.ORG (Web oficial: www.archieve.org)
  11. YOUGETSIGNAL (Web oficial: www.yougetsignal.com)
  12. NETCRAFT.COM (Web oficial: www.netcraft.com)
  13. DNSSTUFF (Web oficial: www.dnsstuff.com)
  14. WFUZZ (Información y programa: http://www.edge-security.com/wfuzz.php)
  15. NMAP (Programa: http://nmap.org/download.html)

Escáneres de vulnerabilidades

  1. GFI (Web oficial: http://www.gfi.com/languard/)
  2. MBSA (Web oficial: http://technet.microsoft.com/es-es/security/cc184924.aspx)
  3. SSS (Programa: http://www.safety-lab.com/en/products/securityscanner.htm)
  4. WIKTO (Programa: http://www.baxware.com/wikto.htm)
  5. ACUNETIX (Web oficial: http://www.acunetix.com/)
  6. NESSUS (Web oficial: http://www.nessus.org/nessus/)
  7. RETINA (Información y programa: http://www.global-tools.com/retina.htm)

Exploits

  1. Metasploit (Web oficial:http://www.metasploit.com/)
  2. Olly Dbg (Programa: http://www.ollydbg.de/download.htm)

Malware

  1. Hacker defender (Tutorial (rootkit): http://foro.elhacker.net/hacking_avanzado...html)
  2. Netcat (Tutorial: http://foro.elhacker.net/tutoriales...html)
  3. Crypcat (Programa: http://sourceforge.net/projects/cryptcat/)
  4. Rootkit Revealer (Programa: http://sysinternals-rootkitrevealer.softonic.com/)
  5. AVG AntiRootkit 1.0.0.13 (Programa: http://www.grisoft.cz/79461)
  6. Ice Sword (Programa: http://icesword.softonic.com/)
  7. Fu.exe (Rootkit: http://www.wisedatasecurity.com/herramientas/FU_Rootkit.zip)
  8. Ikklogger 0.1 (Keylogger http://foro.elhacker.net/....html)
  9. File Mon (Programa: http://technet.microsoft.com/es-es/sysinternals/bb896642.aspx)
  10. Kgb Spy (Programa beta (troyano): http://kgb-spy-keylogger.softonic.com/)
  11. Subseven (Troyano: http://www.vsantivirus.com/sub722.htm)

Distribuciones de Linux orientas a auditoría

  1. Wifislax (Página oficial: www.wifislax.com)
  2. Wifiway (Página oficial: www.wifiway.org)
  3. Backtrack (Página oficial: www.backtrack-linux.org)
  4. Samurai (Página oficial: http://sourceforge.net/projects/samurai/)

¿Qué mas herramientas para auditoría de seguridad conocéis?

En posteriores post iré aumentando la lista con las nuevas herramientas que vaya utilizando.

saludos!

jueves, 21 de octubre de 2010

Hackeada la web de Kaspersky y modificada para habilitar la descarga de malware

Increíble, pero cierto. El pasado domingo 17 de octubre la web de la empresa de seguridad TOP1 en soluciones antivirus, Karpersky, fue hackeada.

La web afectada fue la versión estadounidense, y estuvo secuestrada durante unas tres horas y media. A lo largo de este tiempo, los hackers modificaron el código fuente de la página para que los usuarios que descargasen el antivirus de la compañía descargasen un falso antivirus, al estilo “Byte-defender”.

Kaspersky ha explicado que los hackers se aprovecharon de una vulnerabilidad en un complemento web. Y han confirmado que realizarán una auditoria completa de su presencia online.

Fuente: http://countermeasures.trendmicro.eu/kaspersky-download-site-spread-fake-av/

martes, 19 de octubre de 2010

Estamos al borde del TOP30 en los premios bitácoras de seguridad 2010

Buenas a todos, como algunos ya sabréis y los que no, por el botón de la parte superior del blog lo intuiréis, este blog está nominado a los premios bitácoras 2010 en la categoría a mejor blog de seguridad.

Me enteré tres semanas después de que comenzasen las votaciones de que estaba nominado el blog y puse el botón de voto bastante tiempo después, pero aún así en la clasificación parcial de la semana pasada nos situábamos en el puesto 29 de la lista y hoy en la última clasificación parcial nos situamos en un interesante puesto 31.

Para mí, es un honor estar tan arriba en la lista, compartiéndola con blogs de numerosos amigos, compañeros de trabajo, compañeros del sector e incluso de algún familiar que se dedica a este oficio. Y a pesar de que por internet se diga que este premio es solo un “sube-egos”, la verdad es que salir tan siquiera en la lista anima a continuar escribiendo todas las semanas, aportando una opinión más en internet sobre el estado del sector e intentando enseñar los conocimientos que se van adquiriendo año tras año con la experiencia, aprendiendo a la vez de los blogs de otros compañeros.

Ahora sí, como hacen los políticos, pido el voto a cambio de recalific…., es broma =), si creéis que este blog merece estar en posiciones altas de la lista, podéis votarme pulsando el botón de la parte superior.

saludos y gracias a todos los que habéis usado parte de vuestro tiempo en votarme!

Mejora la administración y la seguridad del sistema de una organización con la implantación de una CMDB

El proceso de Gestión de la configuración es uno de los mas importantes de los que se compone la norma ISO 20000. En este proceso se explica como se deben definir y controlar los componentes de los servicios de una organización, así como su infraestructura, y como se debe mantener toda la información sobre la configuración del sistema.

La norma nos indica que debe existir una visión integrada para planificar la gestión de los cambios y de la configuración, así como una política que defina los elementos de configuración.

El proceso de gestión de la configuración debe centrarse prioritariamente en identificar, controlar y hacer el seguimiento de las versiones de los componentes del servicio y la infraestructura, y debe reflejar todos los cambios en los elementos de configuración, así como sus deficiencias y todas las acciones correctivas que se apliquen tras detectar un problema, facilitando de ésta manera su auditoría.

Todos los elementos de configuración deberían controlarse en una base de datos que contenga los detalles importantes de cada uno de ellos y los detalles que los relacionan entre sí. A esta base de datos se la conoce como CMDB, siglas en inglés de Base de datos de gestión de la configuración.

Por tanto se puede resumir que la CMDB es una base de datos centralizada que utilizaremos para gestionar los activos contribuyendo de esta manera a mantener actualizados todos los elementos de un sistema, con sus correspondientes parches, problemas y soluciones a problemas que se presenten y sobretodo que se utilizará para modelizar los servicios TI proporcionados por la organización, ofreciendo de esta manera una imagen global, es decir, trasladando la realidad física de nuestra organización a una realidad virtual. Esto se puede realizar con la ayuda de herramientas de autodescubrimiento como Nmap, Anubis, etc. y con sistemas de monitorización de redes que alerten de comportamientos indeseados en HW y SW como Nagios, que os iré explicando en posteriores post.

image

La CMDB debe convertirse en la herramienta principal de una organización ya que contendrá TODA la información de la misma y por ello deberá protegerse adecuadamente.

Los servicios que una CMDB debería registrar para considerarse una base de datos de gestión de la configuración completa serían los siguientes:

  • Los Servicios prestados
  • Acuerdos de nivel de servicio (SLAs)
  • Clientes, usuarios y personal
  • Información que interviene en el servicio
  • Procesos
  • Activos informáticos y tecnológicos
  • Las redes de comunicación
  • Los dispositivos periféricos a los sistemas
  • Todas las sedes de las que se componga la organización
  • Y finalmente, subcontratas y proveedores

Como veis, poseer una CMDB completa facilita en gran medida las labores de gestión de un sistema, ayudando en la seguridad de todos sus componentes al conocer el estado de cada uno de ellos, actualizaciones y parches aplicados, otros elementos de configuración con los que se relacionan y que pueden convertirlos en debilidades (recordemos que la seguridad de un sistema será tan fuerte como su punto mas débil), personal encargado de su gestión y un largo etcétera.

La CMDB no solo es importante en las implantaciones de la norma ISO 20000, también forma parte del catálogo de buenas prácticas de ITIL (alineada con ISO 20000 al derivarse ésta de la norma BS 15000) y en la norma ISO 27001, que toca la pata de seguridad en la norma ISO 20000.

En próximos post os hablaré mas en profundidad sobre la CMDB y las herramientas que pueden ser útiles para su implantación.

saludos!

domingo, 17 de octubre de 2010

El gran arte de la Ingeniería Social para penetrar en los sistemas de información

Buenas a todos, en muchas ocasiones los que nos dedicamos a temas de seguridad de la información nos tenemos que plantear como penetrar en cierto sistema y nos quebramos la cabeza buscando información con herramientas como Anubis, LaFoca, o Maltego, haciendo escaneos de red con Nessus, OpenVas o GFI Languard e intentando explotar alguna vulnerabilidad con Metaexploit, cuando penetrar en un sistema puede ser tan sencillo como utilizar alguna técnica de “Ingeniería Social”.

Algunas de las técnicas de Ingeniería Social que mas se suelen utilizar a diario y que mas solemos sufrir son las siguientes:

Phising: Probablemente la que mas fama tenga por el número de veces que es usada. Consiste, normalmente, en un email, llamada telefónica, etc. en el que se trata de suplantar la identidad de otra persona o entidad para solicitar cierta información. En los últimos años se han realizado miles de intentos de phising intentando suplantar a bancos para hacerse con las credenciales de los usuarios y robarles dinero, como por ejemplo, éste que me llegó a mi cuenta de gmail a principios de año debido al “descuidado” tratamiento que hace gmail con los registros SPF:

http://elblogdecalles.blogspot.com/2010/02/intento-de-estafa-mediante-phising-los.html

Shoulder surfing: La más fácil de utilizar y la que mas rendimiento ofrece, consiste como su definición indica, en mirar por encima del hombro. Hace unos días fui con un amigo a sacar dinero en un cajero, el pasó a sacar dinero, y yo me quedé afuera esperando, pues bien, desde la calle pude ver la combinación de la tarjeta de crédito que introdujo. Lógicamente le eché la bronca. Siempre hay que intentar tapar el teclado con la otra mano para evitar las miradas de curiosos, sobretodo por las numerosas bandas de cogoteros que poblan las grandes ciudades españolas.

Esto mismo puede realizarse en ambientes empresariales, mirando a un confiado administrador mientras se loga en un sistema.

Dumpster diving: El Dumpster diving consiste en rebuscar entre la basura, para intentar buscar facturas, documentos o cualquier tipo de información que nos pueda servir. Es normal que las organizaciones se deshagan de documentación con importantes detalles como nombres, números de teléfonos, datos internos de empresas, informes desechados, por ello es recomendable que se triture toda la documentación con trituradoras antes de tirarla a la basura.

Eavesdropping. Ésta técnica consiste en afinar el oído para escuchar la información que se pasan hablando los usuarios con privilegios de un sistema, como contraseñas, etc.

PiggyBacking: Aunque es mas conocida por utilizarse en el metro, etc. también es aplicable al ámbito de la seguridad de la información y consiste en seguir a un usuario autorizado hasta una zona restringida aprovechándonos de sus privilegios. Para ello es normal disfrazarse con monos de trabajo o similares para pasar desapercibido. ¡Cuidado con las señoras de la limpieza Lengua fuera!

¿Y vosotros qué otras técnicas de Ingeniería Social conocéis?

saludos!

jueves, 14 de octubre de 2010

El 50% de los móviles vendidos de segunda mano contienen información confidencial (pornografía, contraseñas, videos, fotos, etc.)

Buenas a todos, cuando os deshacéis de un ordenador viejo, imagino que todos formateáis el disco duro del ordenador mínimo una vez para borrar todos vuestros datos, aunque esto no es suficiente para impedir que en un laboratorio especializado puedan ser recuperarlos, al menos es una traba que impedirá que la gran mayoría de los usuarios tengan acceso a los mismos.

Normalmente, para limpiar bien un disco duro se recomienda formatear el disco duro al menos tres veces, o la sobre escritura de la información utilizando diferentes patrones de datos, por ejemplo con el método Gutmann de 35 patrones.

Pero…¿cuántos de vosotros formateáis un móvil antes de venderlo en el mercado de segunda mano?. Al parecer según un estudio realizado por DISKLABS, el 50% de los terminales móviles vendidos de 2ª mano contienen información confidencial del anterior dueño.

DISKLABS se tomó la libertad de adquirir 50 terminales móviles de segunda mano para realizar el estudio y comprobó que:

  • El 60% de los móviles tenía números telefónicos en el registro de llamadas
  • 9 teléfonos contenían pornografía
  • 9 teléfonos tenían videos personales y notas en el  calendario
  • Y 26 de esos teléfonos contenían información extremadamente personal.

Hace dos años, un amigo que trabaja en una tienda TPH me comentó que una chica les entregó un teléfono viejo, imagino que por un plan renove y como el móvil no estaba mal, decidieron quedárselo los propios dependientes de la tienda, que se sorprendieron “gratamente” al ver varios vídeos de la chica desnuda realizando complejas posturas con el novio.

Imagino que tras este post, los que no formateaseis vuestros teléfonos móviles antes de venderlos cambiaréis de idea ¿no? }=)

Y recordad que en los últimos años y sobre todo con la aparición de las redes sociales es habitual dejar cacheadas las contraseñas para no tener que escribirlas a menudo con los mini teclados de los teléfonos móviles, así que… ¡cuidado con los curiosos!

saludos!

domingo, 10 de octubre de 2010

El Real Decreto sobre Seguridad de Infraestructuras Críticas obligará a las empresas a contar con un especialista en seguridad

security-keyboardBuenas a todos, el mundo de la Seguridad en las TIC siempre ha sido un círculo bastante cerrado, debido al grado de especialización que se requiere en este sector, y son apenas unos pocos miles los privilegiados que cuentan con los conocimientos suficientes como para poder realizar labores de auditoría y consultoría de seguridad con un alto grado de calidad y una gestión adecuada de las infraestructuras TIC.

Pues bien, para satisfacer el Real Decreto sobre Seguridad de Infraestructuras Críticas, se van a necesitar supuestamente alrededor de 7000 profesionales de seguridad nuevos. Cifra proporcionada por Asimelec.

El decreto obligará a los sectores que considera críticos a contar con un especialista en seguridad. Y hasta el momento, únicamente el 16% de las pymes (que forman un 95% del total de empresas en España) cuentan con un experto en seguridad.

Por lo que los que os dediquéis al mundo de la seguridad informática de manera profesional, no os faltará trabajo, y los que como yo estáis en proceso de formación (aunque en este campo la formación es continua y nunca para, sino te actualizas estás muerto), darle caña al asunto, suscribiros a listas de correo de seguridad, blogs, boletines, foros de seguridad, leeros libros, practicar en muchos retos hacking y probar muchas herramientas, que aunque el camino es duro como veis tiene sus recompensas, en este caso en forma de un buen puesto de trabajo.

Y sobre todo, aunque en la Seguridad Informática son muy importantes los conocimientos técnicos, test de penetración, auditorías de caja blanca, forenses, etc, no os olvidéis de la seguridad lógica (ISO 27001, 20000, etc.), que es casi tan importante como saber inyectar una query en un textbox vulnerable.

saludos!

jueves, 7 de octubre de 2010

Microsoft realiza un anuncio en 3D para promocionar Office 2010

Buenas a todos, Microsoft ha realizado un nuevo anuncio de 45 segundos para la televisión alemana, donde promocionará su nueva versión de la suite ofimática Office 2010.

El anuncio ha sido grabado íntegramente en 3 dimensiones, por lo que si tienes la suerte de tener unas gafas 3D podrás disfrutar del anuncio que te dejamos a continuación:

saludos!

martes, 5 de octubre de 2010

ISO/IEC 20000 ¿Qué? ¿Cómo? ¿Cuánto? (Parte II)

Buenas a todos, el viernes pasado me comentaba Angélica Sarmiento en el post: ISO/IEC 20000 ¿Qué? ¿Cómo? ¿Cuánto?, que ella también había asistido a las ponencias sobre ISO 20000 que impartieron Informática de El Corte Inglés y Telefónica en la Cámara de Comercio de la Comunidad de Madrid, y que había echado en falta por su parte algunas explicaciones más, y con más detalles sobre la norma, como es la certificación, quien puede realizarla, etc. Así que aprovecharé entre éste post y los siguientes de esta cadena para aclarar algunas de las dudas de todos los usuarios que se encuentren en esta situación.

Antes de ello, me gustaría hablar primero de la relación que tiene ISO 20000 con ITIL, que considero un pilar básico para poder entender las preguntas que nos formulamos.

En los años 80 las necesidades de gestionar de manera específica los servicios TI originó la creación de la “Biblioteca de Infraestructura de Tecnologías de la Información” conocida como ITIL. Por otro lado la institución británica BSI comenzó a definir un estándar para la gestión de los servicios TI a la que denominó BS 15000. Cuando se propusieron realizar la parte 2 del estándar consideraron alinearlo con las publicaciones de ITIL. En el año 2005, el estándar británico pasó a ser internacional, publicándose como ISO/IEC 20000-1 y 2. Y aquí en España, en 2007, e impulsado por itSMF, AENOR publicó la norma traducida a castellano con el título UNE ISO/IEC 20000-1 y 2.

En resumen la norma ISO 20000 está basada y alineada con las mejores prácticas de ITIL, en la actualidad en su versión v3.

En el siguiente gráfico podréis ver la relación que hay entre las diferentes partes de ISO 20000 e ITIL:

picture

Ahora bien, ¿qué se puede certificar y qué no se puede certificar?

ITIL NO certifica organizaciones, por lo que si estamos pensando en certificar una organización deberíamos decantarnos por la norma ISO 20000, para ser mas concretos, ISO 20000 no certifica organizaciones sino el SGSTI de una organización en una determinada localización física. Me explico, pongamos que mi empresa tiene 10 sedes en España, de las cuales solamente 3 de ellas se encargan de mantener los servicios TI de todas las sedes, ¿si certifico el SGSTI de una de ellas habré certificado mis 3 sedes?. La respuesta es NO, cada sede deberá ser auditada independientemente y recibirá su certificado individual, con su correspondiente número de identificación. Lo que sí ocurrirá, es que si tenemos las sedes gestionadas de manera similar, tendremos mayor facilidad a la hora de obtener la certificación.

Por otro lado lo que ITIL SÍ que certifica son personas. La fundación holandesa "Exameninstituut voor Informatica" (EXIN) y la inglesa "Information Systems Examination Board" (ISEB) han desarrollado juntas un sistema de certificación profesional basado en puntos para ITIL, que podéis visualizar en la siguiente imagen:

picture

Finalmente, ¿qué tipo de organizaciones se pueden certificar, deben ser exclusivamente organizaciones TIC? La respuesta es, no tiene porqué. Se puede certificar cualquier tipo de organización, ya que no se certifica a una organización concreta sino al SGSTI de la organización. Por ejemplo, por poner un caso remoto, una mercería que tuviese un sistema TIC se podría certificar perfectamente, otra cosa es que le pueda ayudar la certificación a obtener una ventaja competitiva.

En el próximo post os hablaré del Plan Avanza y de las organizaciones que hay hasta el momento certificadas en España, organismos certificadores, etc.

saludos!

sábado, 2 de octubre de 2010

Nuevo Internet Explorer 9

Buenas a todos, ya se encuentra disponible para descarga la nueva versión de Internet Explorer 9 (beta) desde aquí.

image

IE9 estará disponible para las siguientes plataformas:

  • Windows Vista 32 bits
  • Windows 7 32 bits
  • Windows 7 64 bits

Y en 29 idiomas diferentes.

Aunque en muchos blog por internet se está comentando que Microsoft exigirá el SP1 de Windows 7 para que funcione el navegador, esto no es así, y se puede instalar sin necesidad del Service Pack, como os muestro en la siguiente captura de mi equipo (al menos en la versión beta):

image

Ésta versión de Internet Explorer trae numerosas novedades, sobretodo orientadas a la mejora de la vida de los desarrolladores. Por ejemplo, una característica que me ha gustado mucho es que trae de serie (sin necesidad de instalar nada más) herramientas de desarrollo, que permitirán modificar el código HTML de una página web en tiempo real, al igual que hacía el plugin de Firefox Firebug.

Otra cosa que he notado es que va muy rápido, se nota que ahora tiene aceleración mediante GPU, como ya pudisteis comprobar con el videojuego en Canvas para ie9 que hicimos en la BlogCamp!.

Desde luego que esta versión de Internet Explorer va a dar mucha guerra a Firefox y Chrome, habrá que esperar unos meses a que salga al mercado definitivamente y se puedan echar algunos números.

saludos!

viernes, 1 de octubre de 2010

¿Qué navegadores utilizan los usuarios que visitan mi blog?

Buenas a todos, a continuación quería mostraros el porcentaje de visitas que realizan los usuarios a mi blog por navegadores, parece ser que se acaba el dominio absoluto de Internet Explorer ante el poder de Firefox y los usuarios que se ha llevado Google Chrome, habrá que ver si cuando salga Internet Explorer 9 se recupera un poco:


Navegador

Porcentaje de visitas

Firefox

45,25%

Internet Explorer

31,79%

Chrome

19,09%

Safari

1,67%

Opera

0,91%