Subscribe:

Ads 468x60px

24 September 2012

Disaster Recovery Plan

 
Los famosos huracanes Katrina (2005) e Isaac (2012) de EEUU, el terremoto de Haití en 2010, el accidente nuclear Fukushima en 2011 debido a un terremoto y tsunami, o el terremoto sufrido por Lorca en 2011 son algunos de los ejemplos de desastres naturales que ha sufrido el planeta en los últimos años, estos acontecimientos nos deberían hacer pensar qué métodos y procedimientos tendrían que seguir los países, empresas y familias en el caso de que nos veamos inmersos en uno de ellos.

Me ha llamado la atención cómo el presidente Barack Obama ha proclamado el mes de Septiembre como el “Mes Nacional de Preparación” para que todos los ciudadanos sean conscientes de la necesidad de disponer de un Plan de Preparación ante Desastres, no sólo dirigido a las empresas y grandes organizaciones sino también a todas las familias de EEUU, donde desde la Cruz Roja Americana se proporciona mucha información y aplicaciones móviles a las familias para desarrollar un Plan de Recuperación ante Desastres.

Tras leer estas noticias, donde se indica que sólo el 60% de las familias estadounidenses afirman que para ellos es muy importante prepararse para enfrentar posibles desastres naturales, me surge la duda de qué porcentaje aplicaría en España, ya que la mayoría de las empresas no disponen de Planes de Contingencia perfectamente definidos y revisados para posteriormente poder dar Continuidad a sus Negocios, y ni que decir el porcentaje que aplicaría a las familias ya que este sería cero o próximo a cero. Es cierto que la probabilidad de desastres naturales en España es menor que en EEUU pero eso no debería influir a la hora de desarrollar el Plan de Recuperación ante Desastres ya que aunque la probabilidad sea menor, debemos estar preparados para lo peor.

Las fases a seguir para desarrollar un Plan de Recuperación ante Desastres podrían ser:
  • Definir los procesos y servicios críticos de la organización.
  • Definir la criticidad de los servicios.
  • Definir cuánto tiempo puede estar la organización sin el servicio.
  • Realizar un inventario de los activos relacionados con los servicios y evaluar la criticidad para cada servicio y proceso.
  • Realizar el análisis de riesgos de los activos.
  • Desarrollar la estrategia de recuperación.
Una vez definidas cada una de estas fases, sería necesario definir las actividades a seguir y los responsables de su ejecución, siempre teniendo en cuenta la recuperación de los procesos más críticos primero, y no olvidar nunca realizar un Análisis de Impacto tras un desastre para mejorar el Plan de Recuperación ante Desastres.

Por tanto, es muy útil y recomendable que toda organización disponga de un Plan de Recuperación ante Desastres, que este a su vez suele estar dentro del Plan de Continuidad del Negocio, así que obteniendo certificaciones como ISO 27001 para las empresas privadas o cumpliendo el Esquema Nacional de Seguridad en las Administraciones Públicas, garantizaremos que los servicios están preparados para posibles desastres.

0 comments
Labels: ,

17 September 2012

¿Necesitas Idiomas?



Cuando comencé a estudiar Ingeniería Informática no pensaba que el idioma Inglés fuese a ser tan importante en una carrera puramente de ciencias, ya que no existía ninguna asignatura obligatoria relacionada con el Inglés, sin embargo sí que había muchas asignaturas relacionadas con las matemáticas como álgebra, análisis de datos, cálculo, cálculo numérico y matemática discretas, por no hablar de asignaturas como estadísticas y físicas, por tanto salí de la carrera sin prácticamente saber escribir, leer, escuchar o hablar Inglés.

Gracias a que las entrevistas de trabajo que realicé tras abandonar la carrera no fueron en Inglés, pude comenzar a trabajar en Extremadura, pero en la primera semana de trabajo me di cuenta que me faltaba algo que no había aprendido en la Universidad y que necesitaba aprenderlo si quería continuar en el sector de las TI, y eso era, por supuesto, saber Inglés. Al principio no sabía moverme por las webs de los fabricantes porque no entendía qué me querían decir, no era capaz de seguir manuales ni leer documentación de la mayoría de los productos, por no decir cuando entraban llamadas de Indios o Franceses, realizábamos webinars o teníamos videoconferencias con personas donde el idioma no era ningún inconveniente para ellos, en estos caso prácticamente no entendía casi nada. Lógicamente a esto había que darle una solución, todos sabemos que aprender un idioma es un proceso largo en el tiempo y complicado, pero a la vez bonito, así que decidí apuntarme a la Escuela Oficial de Idiomas donde comencé en 1º de Intermedio, al principio es difícil de llevar, ya que tras salir de trabajar no apetece meterse en una clase de idiomas, pero tras dos años de constancia y estudio ha merecido la pena porque he obtenido el nivel B1.

  
Con este nivel según el Consejo Europeo: "Es capaz de comprender los puntos principales de textos claros y en lengua estándar si tratan sobre cuestiones que le son conocidas, ya sea en situaciones de trabajo, de estudio o de ocio. Sabe desenvolverse en la mayor parte de las situaciones que pueden surgir durante un viaje por zonas donde se utiliza la lengua. Es capaz de producir textos sencillos y coherentes sobre temas que le son familiares o en los que tiene un interés personal. Puede describir experiencias, acontecimientos, deseos y aspiraciones, así como justificar brevemente sus opiniones o explicar sus planes"

Pienso que son cosas sencillas y simples que todo Ingeniero debería conocer, así que animo a todos a no abandonar el idioma y seguir estudiando porque con la que está cayendo en España cada vez es más necesario aprender otros idiomas. Por otro lado, enhorabuena a los futuros Ingenieros Informáticos que obtengan el título de Grado, ya que para obtener el Grado necesitaréis acreditar el nivel B1 de Inglés, así que saldréis mejor preparados, en cuanto a idiomas, que las antiguas Ingenierías.

Yo por el momento, seguiré con ello y espero que en un par de años, pueda comunicaros, por este mismo medio, que he alcanzado el nivel B2.
0 comments
Labels:

10 September 2012

Política de Control de Acceso

CONTROL DE ACCESO

Tener definido claramente la política de control de acceso a los recursos de una empresa es una tarea muy importante que una organización debe llevar a cabo, y que los administradores de seguridad deben cumplir a rajatabla, no sólo haciendo cumplir a los usuarios políticas de contraseñas en cuanto a complejidad y longitud, sino también auditando cada acceso e inventariando a qué recursos tiene acceso cada persona.

Parece muy común confiar en las personas compartiendo contraseñas o incluso no revocando ni modificando los permisos de acceso cuando éste abandona la empresa o cambia de puesto de trabajo, pero es una mala práctica que debemos evitar los administradores de seguridad y más aún la Dirección y CIOs de las organizaciones, ya que son estos los que deben solicitar los cambios sobre los permisos de acceso.

Como comentaba anteriormente es muy importante tener inventariado a qué recursos accede cada persona de la organización, para una vez que haya que modificar sus permisos o incluso dar de baja al usuario, no dejemos ningún acceso disponible que permita al usuario acceder a la información de la empresa para posteriormente revenderla a la competencia o usarla con otros fines que pueda perjudicar a la organización.

No me lío más y vamos a ejemplos prácticos que es lo que a todos nos gusta:
  • Toyota fue hackeado por un extrabajador de TI: Toyota a demandado a un extrabajador, ya que la tarde en la que fue despedido, el trabajador se conectó, descargó y imprimió documentos que poseían información sensible sobre productos actuales y futuros de Toyota, desde la web ToyotaSupplier.com donde los proveedores intercambian bastante información. Aunque se está investigando si el acceso del extrabajador aún estaba habilitado o este aprovechó alguna vulnerabilidad de los sistemas para acceder a la información sensible. 
  • Cárcel para un extrabajador que abrió los sistemas de la empresa a los spammers: En este caso el gerente de TI de la empresa aprovechó una contraseña que aún estaba activa para convertir un servidor en relay de spam, y por tanto utilizándose para el envío de correos electrónicos pornográficos y maliciosos, así que los propios correos de la empresa eran catalogados como spam por los servicios de anti-spam.
  • Extrabajador instala malware en los sistemas de la empresa: Un extrabajador instala tres archivos maliciosos en 1000 sistemas de su antigua empresa consiguiendo que los sistemas de la compañía dejen de registrar las transacciones. Esto hace que la empresa tenga que realizar una investigación de lo sucedido que le cuesta 49.000 dolares para solucionar el problema. 
  • Un director de TI hackea la presentación de su CEO: En este caso un director de TI fue despedido y este decidió hackear los equipos del CEO instalando software de Keylogger y así obtener credenciales de acceso. De esta manera se hizo con el control remoto del equipo, y en un Consejo de Administración de la empresa modificó la presentación PowerPoint de su CEO mostrando imágenes pornográficas. 
  • Un hacker amenazó a un ISP con un hacha: Un hombre consiguió entrar en los servidores de un ISP para borrar todos los datos pertenecientes a su antigua compañía, después amenazó con quemar las oficinas y amenazó a su ex-director con un hacha. Parece ser que el hombre utilizó información y contraseñas confidenciales para acceder a los sistemas.

Con estas noticias me surgen algunas dudas como ¿de cuánto tiempo disponemos los administradores para deshabilitar las cuentas de los usuarios? O incluso ¿hay empresas que tras varios días, meses o años aún no han deshabilitado todos los accesos de sus extrabajadores? Seguro que si, esto se debe a no mantener adecuadamente un inventario de accesos a los recursos. Así que como podemos ver, tener a los trabajadores descontentos puede llevar a las compañías a tener pérdidas millonarias, pérdida de confianza, etc.

Y eso es todo amigos ...

0 comments
Labels:

3 September 2012

Securiza tu smartphone



PROTECCIÓN CONTRA CÓDIGO MALICIOSO Y DESCARGABLE

Cada vez hay más smartphone en el mercado y ya no nos conformamos con tan solo llamar a través del teléfono, sino que navegamos, accedemos al correo electrónico, chateamos, hacemos fotos, instalamos aplicaciones, jugamos, etc, etc, y esto hace que los “malos” hayan pasado de atacar los equipos de escritorio a comenzar a desarrollar y distribuir código malicioso. Y muchas personas dirán ¿por qué este cambio? ¿para qué? Pues muy sencillo, si antes con un virus se hacían con nuestros PCs para tener documentos, fotos o planos con información confidencial, obtener contraseñas, utilizar el equipo para el envío de spam o atacar otros equipos desde nuestro propio equipo, ahora si comprometen nuestros teléfono móviles tendrán todo lo anterior, además de que podrán conocer nuestra posición GPS para conocer dónde estamos, podrán acceder a nuestras agendas y saber cuándo tenemos reuniones que les puedan interesar y así encender el micro para posteriormente enviarse la locución de la reunión y poder escucharla, poder hacer llamadas y envío de SMS, y lo último y que más me ha impactado, ¿dónde suelen enviar los banco el código de confirmación para realizar una transferencia bancaria? Pues sí, al teléfono móvil, por tanto, para ellos cada vez es más fácil robarte el dinero, ya que si saben qué webs visitas, tus contraseñas y ahora acceso a tus SMS, prácticamente podrán hacer lo que quieran si no tenemos controlados nuestros dispositivos, tanto smartphone como PCs.

Y todo esto lo comento ya que al igual que cada vez hay más smartphone también hay más malware desarrollados específicamente para estos equipos, como por ejemplo el backdoor Briba que inicialmente se utilizó para atacar el departamento de defensa de EEUU, ahora se está utilizando junto con la reciente vulnerabilidad de Flash Player, lo que permite al atacante conectarse al dispositivo de la víctima cada vez que sea necesario y así obtener todo lo que ellos necesiten. O el malware SMS Zombie que ha afectado a más de 500.000 teléfonos Android en China, este malware era distribuido mediante salvapantallas pornográficos y es muy complicado su desinstalación, el teléfono de la víctima era completamente controlado por el malware, supervisando y controlando los SMS de los usuarios, el fin del ataque era realizar pequeñas recargas en cuentas de juego online intentando evitar ser detectados por la víctima.

Otro malware reciente que me ha llamado la atención es el troyano Crisis, este troyano que en un principio fue diseñado para infectar equipos Windows y Mac OS, ahora también afecta a Windows Phone, iOS y Android. Este troyano se propaga a partir de un falso archivo Flash, pero lo más emocionante es que también es capaz de infectar máquinas virtuales de VMware sin que estas estén encendidas, ya que monta la máquina virtual mediante VMPlayer e infecta su sistema operativo, por tanto vemos una vez más, la creatividad, el ingenio y los conocimientos de los desarrolladores que están del lado de los “malos”.

SEGURIDAD FÍSICA Y AMBIENTAL

No quería dejar pasar este post sin hablar de los últimos cambios en tecnología en el sector de la automoción, y en este caso quería hablar sobre los coches automáticos conducidos por ordenador como los que están en fase de pruebas desarrollados por Google. Publicaciones reciente del Departamento de Transporte de EEUU y la Universidad de Michigan aseguran que descenderá el número de accidentes automovilísticos y la congestión del tráfico gracias a las tecnologías implantadas en los automóviles como cámaras traseras/delanteras, GPS y la red de comunicaciones. Sabemos que existen varios prototipos de coches con estas características con el fin de no necesitar conductor para llevarnos a los sitios, incluso algunas empresas como IKEA ya utilizan sistemas similares como carretillas para transportar muebles por el almacén de manera automática, pero a mi me surgen muchas dudas con respecto a todo esto, ¿quién será el responsable si se produce un accidente? ¿quién va a actualizar el software cuando se encuentre una vulnerabilidad? ¿quién va a pagar todas la infraestructura necesaria para hacer funcionar estos sistemas? Supongo que una vez que todos los coches estén conectados a Internet deberemos tener cuidado en qué memoria USB introducimos en el reproductor MP3 del coche o si tenemos debidamente actualizado el sistema antivirus, no sea que a algún atacante le de por pisar el acelerador cuando no debe.

Y eso es todo amigos ...
0 comments
Labels:
Subscribe to: Posts ( Atom )
Related Posts Plugin for WordPress, Blogger...

Entradas populares

  • HSRP, VRRP o GLBP
    Las organizaciones con un gran número de usuarios o servicios no pueden permitirse el lujo de dejar a los usuarios durante varias h...
  • Improving SSL VPN performance with DTLS
    N etworks are increasingly faster, mainly, because the method of access to the medium is faster than ever with up to 100 Gigabit Etherne...
  • Checksum
    E l checksum y el CRC son mecanismos para detectar errores en la transmisión de datos que nos ayudan a determinar la integridad de los d...
  • Metodología de redes (FCAPS)
    En la certificación CCNP no sólo estoy aprendiendo qué tecnología es necesaria para construir redes escalables, cómo mejorar los fluj...
  • Decrypting DTLS traffic with Wireshark
    I’ ve written about Improving SSL VPN performance with DTLS recently thus I would like to write about how-to decrypt this traffic wit...