domingo, 21 de octubre de 2012

Inteligencia Informatica

Al paso de los años cada vez mas en nuestra vida diaria tanto personal como laboral interactuamos con diversos sistemas informáticos.

Muchos grupos de personas o independientes se dan a la ardua tarea en innovar mas y mejores aplicaciones que nos simplifiquen tareas diarias, a tal grado que tenemos aplicaciones moviles para tablets y teléfonos inteligentes y programas cada vez mas especializados de uso diario para empresas y personales.

La innovación se ve verdaderamente consumada cuando esta invención, investigación o nueva solución es adoptada por los usuarios con gran aceptacion y satisfacción. En estas épocas se viven innovaciones constantemente desarrolladas por personas independientes así como grupos interdisciplinariosde trabajo.

Al interactuar con mas aplicaciones, empezamos a generar mas datos y a demandar mas de ellos y así tenemos aplicaciones comerciales, pagos en linea, tramites gubernamentales online, tomamos capitación a distancia, herramientas para intercambio de información a distancia, expedientes médicos, control de inventarios, manejo de finanzas empresariales y personales, banca electrónica. correos, localizacion, etc.

Así como va en aumento la tecnología, sus aplicaciones y programas también aumenta la necesidad de asegurar la información que ingresa, intercambia y se genera. También va en crecimiento la inseguridad, las vulnerabilidades y los riesgos en estos sistemas, aplicaciones y en el mismo Internet. Incluso hoy en día se han hablado de ciberamenazas en sistemas SCADA (de control y de automatizacion), en espionaje financiero, robo de propiedad intelectual y suplantación de identidad.

La seguridad informática es Holisitica y Heterogenea, no es un proyecto si no debe considerarse un proceso dentro de los mas importantes de una organizacion, institucion, Gobierno y hasta en la empresa mas pequeña. Incluso a veces o dueños o administradores están mas preocupados por adquisición de nuevos programas, equipo de computo, reingenieria de procesos, automatizacion, etc. Eso es muy bueno para los negocios pero también un negocio con información segura también se se traduce en rentabilidad en el negocio.

Existen muchisimas circunstancias que provocan la inseguridad en los sistemas y no solamente nos referimos a los nuevos ataques, o al Malware de reciente creacion si no a situaciones humanas y culturales. Aqui citaremos en las que personalmente me he encontrado o colegas mios han detectado, que son de  gran impacto en estos temas de inseguridad. Por ejemplo:

1.- Tengo 20 años asi y nunca me ha pasado nada: Frase muy común emitida en gran parte por Directivos, administradores o incluso dueños de empresas, pero si bien es cierto hace 20 años no existia la facilidad de contratar enlaces de comunicacion dedicados, la complejidad de los sistemas era diferente, la emision de la informacion era mas en papel que electronica, muchos tramites de gobierno no se hacian online. Por lo que este tipo de posturas evitan la insercion de procesos de seguridad de la informacion o actualizacion de las mismas por falta de conocimiento, la evoluciones de la inseguridad informatica ha crecido increiblemente durante estos 20 años, la aparicion incluso de nuevos dispositivos que se interconectan a nuestra red. Esto nos delimita que muchas empresas no desea actualizar su seguridad con 20 años de atraso temas de proteccion.

2.- Que protejo si no tengo nada que ocultar: Postura peligrosa porque todos tenemos el derecho a la privacidad, adicional a que no solamente nuestra informacion esta en riesgo si no de la empresa u organismo en donde estamos participando, los ataques ciberneticos siempre buscan la parte mas vulnerable y los excesos de confianza son catastroficos en cualquien ambito de la seguridad.

3.- Ciberseguridad, eso es para grandes empresas: Existen muchas empresas nacionales y trasnacionales de gran tamaño pero tambien hay un numero incluso mayor de empresas denominadas PyME que tambien, generan, gestionan, intercambian información y tambien deben de tener su privacidad, asi mismo tienen competencia. Desproteger una base de datos por el solo hecho de pensar que son empresas pequeñas. En algunos paises como tambien en Mexico el que roben informacion confidencial y personal puede tener repercusiones legales e incluso fincarles responsabilidades graves por esta omision de seguridad.

4.- Pero el encargado de sistemas sabe todo es su obligacion protegerme: Si bien los administradores dela infraestructura tecnologica cuentan con conocimientos especializados y conocen riesgos tambien deben de ser actualizados, por ello es importante e imperativo por parte de las empresas y organismos mantener actualizados a sus responsables de sistemas con capacitacion actualizada. En muchos casos el personal de sistemas no se les da ese apoyo e incluso ni siquiera el permiso de faltar un par de dias para capacitarse (corriendo los gastos de certificaciones y diplomados por parte del empleado) por ello se actualizan con la informacion que esta en la red aparte de cubrir sus actividades diarias, en la gran mayoria de los casos los encargados de sistemas les asignan demasiadas actividades que incluso a veces no son ni propias del area imposibilitando con ello la correcta proteccion y la ejecucion de la buenas practicas en la mayor parte de los casos.

5.- Soy el Director a mi no me implanten seguridad en mi equipo: Las direcciones, gerencias, supervisones o cargos denominados como altos o medios mandos se les da libertad de conexion y de uso del ancho de banda de una empresa pero si bien ellos podrian (o son mas bien) blanco de ataques y de vulnarebilidades por una omision dentro de un ecosistema seguro infiltran Malware a la organizacion o son el puente de los ataques hacia la intrusion de los sistemas de la organizacion. El tener jerarquia de permisos no quiere decir que deban de quedar desprotegidos.

6.- No hay repercusiones legales, ni para defenderme ni para exigirme seguridad informatica: A nivel internacional se han estado creando leyes para la proteccion de la privacidad, la seguridad de la informacion, la suplantacion de identidad y para cibercrimenes. En muchos paises se ha escuchado de ACTA, CISPA, SOPA, etc. Incluso en México esta la ley de proteccion de datos personales en posesion de los particualres esta ley gestionada por el Instituto Federal de Acceso a la informacion delimita que debe de haber una metodologia, procesos y responsabilidad del manejo de las bases de datos de cada una de las organizaciones privadas, en caso de su manejo inseguro existen multas, fincado de responsabilidades e incluso hasta carcel para los responsables de la inseguridad de la informacion. De la otra cara de la moneda en caso de existir ataques, fraudes electronicos e incidencias de inseguridad informatica existen procedimientos foreneses para la investigacion de las mencionadas situaciones.

7.- La verdad no creo en los ciberataques: El no creer en algo no nos exime de que nunca nos pase nada por crudo que se oiga pero en verdad si estamos desprotegidos solo es cuestion de tiempo. En las noticias de la prensa tradicional como Television y radio,en los periodicos incluso en Internet constantemente se hablan de nuevos ataques, vulnerabilidades, cada vez mas complejos Malware, incluso ciberataques entre paises. Hemos escuchado grandes ataques como FLAME, STUXTNET, GAUSS, DUQU, Operación Aurora, etc. que nos demuestran la complejidad de esos ataques, es real no es un mkito ni una historia cibernetica son hechos contundentes de la inseguridad que existe hoy en dia, es como si vivieramos sin puertas, sin cerraduras, con los vehiculos abiertos, etc cerrando los ojos y colocandonos en posiciones severamente riesgosas.

8.- Para que invertir en seguridad informatica, eso no me genera utilidad: el tener disponible una pagina que no este derribada por un ataque, el crear estados de confianza de un comprador, el estar en un sitio seguro de negocios, etc. Se han escuchado muchismos casos de que por no invertir en procesos y soluciones de seguridad han tenido cuantiosas perdidas economicas de las empresas en la bolsa de valores, perdidas de clientes, costosas recuperaciones de informacion destruida o perdida, ademas lo que nos dan de entregables las buenas practicas de seguridad informatica es que la informacion este disponible justo a tiempo, que sea accesible, que este en su estado original (que no sea modificada por personal no autorizado), que este intregra, que tenga privacidad e incluso tambien que cuente con procesos de recuperacion de los datos en caso de desastres. Es estrategico, rentable e imperativo el invertir en rubros de ciberseguridad.

9.- Los ciberataques solo pasan en peliculas: Cada segundo 18 personas son victimas del cibercrimen en el mundo Fuente el Financiero , las vulnerabilidades existen en todos los sistemas, todos los usuarios somos suceptibles a ataques, el desconocimiento de ello es nuestra mayor vulnerabilidad pero peor aun es no querer protegernos aun  con conocimiento de causa.

10.- Tengo mi antivirus y mi firewall: Como comentabamos en parrafos anteriores la seguridad es holistica y hererogenea, no hay nada absoluto por ello se requiere la asesoria de un experto en ciberseguridad ya que cada caso tienes sus diferentes requerimientos, asi mismo la seguridad no solo es la la parte de equipo ni de aplicaciones, si no la cultura de los usuarios, capacitacion, las politicas internas y externas del uso de la informacion en empresas o instuciones, el conocimiento de los usuarios, las buenas practicas las metodologias y procesos como tambien las normativas como la ISO 27000.

11.- Pero a mi nadie me dijo nada: Es importante que una organizacion cuente con politicas claras y firmes para con los empleados en temas del manejo seguro de la informacion, no solo basta los controles de acceso a los archivos, los controles de instalacion de programas en los clientes, las restricciones de navegacion, si no que el empleado este enterado y firme de conocimiento que esta prohibido y por que, las responsabilidades que tiene, la extraccion de informacion por medio de USB o unidades de respaldo, todo lo que gira alrededor de las buenas praticas del uso de la informacion Tambien conocer acerca de la privacidad y de lo que implica publicar informacion, fotografias o ubicaciones de terceros sin su autorizacion asi como los riesgos de ello.

12.- Lo siento jefe pero me llego por correo: Alertar a todos los integrante de una organizacion de los peligros que existe en intercambiar informacion confidencial con entidades no autorizadas, el conocer que existen suplantaciones de identidad por lo cual se puede observar comportamiento anormales incluso en contactos de uso frecuente de intercambio de datos por correo. Crear procesos de confianza basados en las buenas practicas de la seguridad de la informacion. Gran parte del SPAM esta relacionado con la ingenieria social en la busqueda de robo de identidad. No debemos dejar eslabones debiles ni en el hogar ni en la empresa.

13.- Hagamoslo rapido porque Urge: Gran parte de los equipos a veces cuentan con el usuario y contraseña de fabrica y es como abrir una cerradura de casa con la llave maestra. Precuparnos por lo importante mas no por lo urgente, debemosde asegurarnos que los sistemas y dispositivos sean los mas seguros, esten correctamente configurados y operados con personal que tenga conocimiento con una dedicacion especial a su configuracion de manera correcta. Analizar que los sistemas que nos protejan sean verdaderamente seguros o incluso explorar el servicios contratado de externos para asegurar nuestra informacion con profesionales dedicados por y para ese tipo de servicios.

14.- Pues ya daselo al proveedor amigo: Los niveles de especializacion en seguridad informatica son muy amplios y bastos, por lo que siempre es recomendable contratar servicios o adquieir productos con personal que este capacitado y dedicado a ello, con la finalidad de que realmente lo que invierte cumpla su cometido y verdaderamente este garantizada la correcta inversion en temas de seguridad informatica.

15.- Luego lo vemos y nos aseguramos: Dejar la seguridad de lado es muy comun por que todavia no esta en la mente de muchos gerentes, dueños, directores, usuarios e incluso en administradores de sistemas. Esta comprometida nuestra empresa y la informacion que esta en ella, asi como nivel usuario dejamos nuestra seguridad a sorteo y la administracion de riesgos de lado. La tranquilidad y la seguridad no tiene precio.

Esto es lo que representativamente nos hemos encontrado incluso ustedes pueden tener todavia mas historias que contar y que han vivido. Como podemos ver existen muchisimas consideraciones incluso que van desde dentro de la cultura organizacional e incluso en la propia cultura personal a veces estamos faltos de sentido comun en estos temas. Asi como en la vida tenemos seguridad recordemos que tenemos una vida paralela electronica y binaria. Tenemos que cada vez estar mas y mas enterados de como hacer cara a estas situaciones.

Seguiremos informando para conocer mas acerca de este mundillo les dejo algunas recomendaciones valiosas de cultura general y estaremos informando mas acerca de esta nueva ciencia que es CIBERSEGURIDAD




jueves, 26 de julio de 2012

Implementacion de seguridad Informatica en Gobierno (Propuesta)

En las diferentes depedencias, secretarias, instituciones u organismos del Gobierno tienen informacion del pais y de nosotros como personas. Esta información va desde datos simples hasta información muy precisa de nuestras actividades comerciales, de impuestos, propiedades, expedientes medicos, lugares de residencia, sueldos, etc.

Por ello esde suma importancia que el Gobierno este certficado, calificado, capacitado y equipado con todo lo necesario para ejecutar dia a dia las "buenas practicas" en la seguridad de la información. Tanto para salvaguardar la informacion de los ciudadanos asi como todos y cada uno de los datos que se generan dentro de estas entidades.



En muchos reportajes en diferentes medios hemos visto situaciones de paginas caidas, ataques por parte de ciertos grupos en protesta o por fines maliciosos, vulnerabilidades de sistemas, inestabilidad de los mismos, lo cual nos deja muy en claro que existe mucho trabajo por hacer. 

Si bien en algunos departamentos de sistemas cuentan con equipamiento y personal destinado a la seguridad informatica se necesitan implementar mas tareas y procesos para este fin, como he mencionado en repetidas ocasiones la seguridad informatica es "Holistica" es un todo que esta en grupos "Heterogeneos" en donde participa mucha gente y mucha infraestrctura. La seguridad de la informacion no se basa en la implementacion de una caja o de un software si no que va mas alla de eso teniendo que complementarse con mucho mas insumos que solamente equipamiento. En el caso de los equipos incluso debe de existir una correcta evaluacion de ellos para determinar si son los equipos propios para gestionar correctamente la seguridad conforme al entorno en donde fue instalado sumado a ello la correcta configuracion que exprima el potencial que ofrece este equipo.

En muchisimos casos podremos comprobar que el encargado de sistemas no esta capacitado o actualizado para llevar de una manera correcta la gestion de la seguridad de la informacion. En muchos casos esto puede ser señalado por una falta de profesionalismo o incluso motivo de reclamo y criticas para los responsables de TI, pero esto no es culpa en la mayoria de los casos del personal de sistemas y no es su culpa por que no hay presupuestos, autorizaciones o apoyo a la capacitacion del personal que esta en esa area y menos aun en temas de seguridad informatica. Los casos de apoyo que llegaran a existir son aislados no hay un politica uniforme en donde se tenga muy bien definido los apoyos y acciones a estar en capacitación continua en temas de seguridad informatica a los responsables de TI de las dependecias de Gobierno, por otra parte los usuarios deberan de recibir capacitacion de seguridad informatica y del correcto uso delos sistemas, cosa que tampoco existe un plan claramente definido para ello.



Las partidas presupuestales de cada dependencia de Gobierno en sus proyecciones anuales deberan ya de tomar en cuenta esta modalidad de ver la seguridad informatica como Holistica considerando asi insumos necesarios y plasmados en presupuestos para ello. Por ejemplo equipamiento nuevo y renovaciones de licencias o por obsolecencias, entrenamiento del equipo para nuevos integrantes, capacitacion para los respondables de gestion de sistemas, capacitacion para los usuarios, presupuesto para software o aplicaciones para seguridad centralzado, de los usuarios y de las paginas Web, presupuesto para certificacion de las entidades de gobierno en las buenas practicas de la proteccion de la informacion, presupuesto para contratar servicios externos de analisis situacional de las seguridad de los sistemas propios de la dependencia, presupuestos para subcontratar a profesionales en la materia para proveer servicios de seguridad informatica al Gobierno, presupuesto para consultores y auditores del rubro, presupuesto de actualizacion de sistemas, software o sistema operativo, presupuesto para creacion de programas para garantizar la no pirateria en software usado por el Gobierno, etc. Todos ellos con el caracter propio del rubro.

La seguridad informatica debe de estar presente en cada rincon del Gobierno, en cada equipo o sistema que este interconectado o aislado con su tipologia de seguridad propio para cada uno de ellos.

Pero como poder legislar, ordenar o tomar criterios para ello siendo que el Gobierno es muy basto, complejo y grande. Son muchas acciones a realizar pero para ello existen "Normas" la norma aplicable para la seguridad informatica es la familia ISO 27000 que ya existe su normativa propiamente Mexicana resultado de la mencionada que es la NMX-I-27000 y quien esta facutado en Mexico para estar certificacion es NYCE, quien es un organismo Nacional de Normalización y Evaluacion de la Conformidad, incluso certifica varios procesos y productos y lo veremos en casi todos los equipos electronicos del pais bajo este Logo.


El ISO 27000 es un estandar que esta diseñado para la correcta gestion de la seguridad de la información, nos da un amplio marco de gestion de la segruidad informatica que es aplicable para cualquier tipo de organizacion, institucion, dependencias o entidad de Gobierno de cualquier tamaño, publico o privado,  tambien por supuesto aplicable a cualquier tamaño y giro de empresas particulares

Este estandar no solamente es valido en Mexico si no que es valido y aplicable para cualquer parte de nuestro planeta, aplica a organizaciones, empresas, insttutuciones, Gobierno, etc. que maneje informacion ya sea impresa o escrita, almacenada electronicamente, enviada por correo o medios electronicos, mostrada en video corporativo o privado, verbal, estadistica, de caracter cultural o educativo, informacion Medica, etc. Como podrmos observar casi nadie queda fuera dentro de este estandar que se convierte un apoyo muy fuerte y solido para poder llevar una serie de lineamientos para gestionar correctamente la seguridad informatica.

Los beneficios que ofrece que el Gobierno este certificado y que implemente este tipo de estandares es muy claro por que se establece una metodologia de gestion de la seguridad informatica demanera clara, uniforme, estructurada e integral. Se lleva un control de los riesgos tante de manera preventiva, la gestion segura de accesos controlados a la informacion, crear la confianza en los usuarios de que su informacion esta segura y disponible, crear mecanismos identificados y regulados de auditorias externas para el analisis situacional en relacion a la estabilidad del sistema, su grado de vulnerabilidad, deteccion de amenzas, evaluacion d elos controles de la gestion de la seguridad informatica, crear procesos para la continuidad de las operaciones tras incidentes de gravedad que se presenten, cumplimiento de la legislacion en los rubros de propiedad intelectual, proteccion de datos personales, seguridad nacional y propias del Gobierno, Reglamentaciones del uso de la informacion, aumento de la seguridad, gestion de seguridad fisica, reduccion de costos por perdidas, compatibilidad con otros sistemasde gestion como ISO 9000, etc.

Los procesos de implementacion en su mejor modelo se desarrollarian de la siguiente manera:

  • Participacion de un cosultor especialista en seguridad informatica para analizar en que grado o situacion esta el organismo o insttucion a certificar, realizar analisis y pruebas que nos den un mapa asi como los resultados de como estan estructurados, configurados, administrados y protegidos los sistemas, conocer los grados de actualizacion de los mismos, determinar politicas de la empresa de manera general, realizar grupos de trabajo integrados con el cosultor para conocer los usos, actividades y practicas en relacion a sistemas-usuarios-organismo. Recibir el coaching del consultor. El consultor debera de ser especialista en la materia se aconseja que su negocio principal sea eso ya que con eso podriamos asentuar que sus recursos, experiencia, tiempo, inversiones y casos de exito esten dirgidos por y para el segmento de seguridad informatica
  • Implementar de manera estructurada y organizada a traves del consultor el estandar ISO 27000, organizar y clarificar entregables a la medida del organismo a certificar, crear documento maestro de cumplimiento del estandar.
  • Implementar en accion, derivado del analisis previo se procece a las documentaciones, creacion de procesos, politicas, reglamentos, e implementacion de equipos y software de seguridad informatica, correcta configuracion de sistemas, programas y entidads informaticas, creacion y ejecucion de plan de capacitacion para personal de sisetmas y usuarios.
  • Una vez realizado todas estas actividades (Se muestran de manera simplificada) por parte de la integracion de consultor en seguridad informatica, representante de sistemas y la direccion (es sumamente importante involucrar desde el inicio a la direccion o mandos altos) este ultimo para poder tener el apoyo en relacion de lo que se establecera como buenas practicas tanto en implementacion de equipo (autorizacion de adqusicion) como en los reglamentos, politicas y capacitacion que seran parte activa del dia a dia de los integrantes de este ecosistema informatico.
  • Cuando todo esto se tiene estructurado por medio del consultor o de manera directa contactar a NYCE, asi directamente... por que cuenta con la facultad, experiencia, auditores y procedimientos para certificar el ISO 27000, este procesos de auditorio es en 2 etapas, la primera se basa en conocimiento de lo que se tiene y se ha hecho para emitir el primer dictamen, dando por entregable comentarios, necesidades de mejora y observaciones que se fijara un tiempo en comun acuerdo para ajustes, reparacion y mejoras a las observaciones del auditor, recordemos en esta parte es un auditor que se involucra con el represetante del organismo para la certificacion asi como con el consultor.
  • La segunda parte es para revisar los resultados de la primera parte ver finalmente el "como quedo" y realizar una serie de evualuaciones y si surgen nuevas observaciones se emitiran, asi mismo se deja por un periodo determinado ver la maduracion de los procesos y la emplementacion, si!, para ver como se comporta, como se respeta y se lleva acabo, garantizando asi que sea el organismo a certificar su entregable final el ISO 27000
  • Este tiene una vigencia de 3 años en donde se realizaran en este periodo de tiempo una seria de auditorias programadas para ver el cumplimiento y documentar las mejoras continuas que se le deberan de hacer a todos los sistemas y gestion d ela seguridad informatica con fines de mejora.
Dentro de tantos estartegicos entregables propios de este implementacion nos dara un panorama y un analisis para poder tomar desiciones correctas en adquisicion de equipo, ver si las fallas son propias de una vulnerabilidad o incluso de una mala configuracion del sistema,  evualar situaciones con una mayor presicion y un orden, Nuesros sistemas tarbajaran mas optimizados y seguros.

El tener sistemas automatizado asi como correcta gestion de la seguridad informatica y por que el poder tener un gobierno electronico muy dinamico tambien puede ser una importante aportacion para minimizar la corrupcion en ciertos puntos.

Existen buenas intenciones, en lo relacionado al Certificacion de ISO 27000 tengo conocimiento de que la Comision Federal Electoral (CFE) esta certificada, asi mismo NYCE y el IFAI estan realizando varias actividades entorno a ello, asi mismo en lo particular estamos realizando actividades de esta Indole con la Agencia Espacial Mexicana en conjuncion con NYCE, tambien en muchos Paises como Colombia, Peru, Brasil estan realizando fuertes actividades en el Gobierno en la busqueda o manutencion de certificacion del ISO 27000 segun el caso.

Tambien como usuarios de Gobierno debemos de estar conciente de estos temas y asi mismo exigir de una u otra manera que nuestra informacion este segura tanto la personal como la del pais, por que a final de cuenta es nuestra tambien.

Con este Paper quiero decir que "Toda" la informacion que tiene el Gobierno este insegura si no que hay muchisimo trabajo por realizar, hacer conciencia de ello, informar  que son necesarias estas mejoras y que en algunos casos si es inexistente la seguridad de la información, Que el Gobierno cree consciencia y apoye con fondos programas a capacitar en este tema especifico a sus profesionales de TI para tenerlos en equidad de conocimiento, en uniformidad de la seguridad y el desarrollo humano de sus profesionales.

Esta conciencia como lodigo una vez mas se logra con exito en compartir conocimiento, entre mas conocimiento tengamos podremos tener mas y mejores reacciones ante las desiciones que tomamos dia a dia.

La capacitacion es muy importante y elemental, NYCE tambien ofrece importantes diplomados en diferentes areas acercate a su pagina y conoce.

Otras entidades importantes de conocimiento que menciono muy seguido es:

Por otra parte con orgullo les puedo comenta que La Cámara Nacional de la Industria Electrónica, de Telecomunicaciones y Tecnologías de la Información, CANIETI, sede Noroeste cuenta con la comision de seguridad informatica, creadad para apoyar a las empresas y al Gobierno en sus dudas, requerimientos, informacion o inquietudes en todos los temas relacionados con seguridad Informatica, es interesante acercate a ellos, les dejo el correo de la comision y hay tambien le dan informacion de talleres y cursos de seguridad informatica organizados por la camara.

seguridadinformatica@canietinoroeste.com
La seguridad informatica es Holistica y heterogenea y es labor de todos


miércoles, 25 de julio de 2012

Capacitarte y conocer como un proyecto de Vida

La importancia de la capacitacion en el Mundo de la Cyberseguridad

Hoy en dia el tema de cybersecurity por su denominacion en ingles es un tema comun en diferentes areas y en diferentes sectores. Hay tanta informacion en el internet y tantas tendencias de la misma que surgen muchisimas preguntas. Por otra parte existen organismos que certifican tus conocimientos y pocas pero existentes, que son empresas de capacitacion Profesional en seguridad informatica con excelente planes de estudio y con amplia experiencia por parte de los Instructores o profesores.

Tambien existen un grupo muy nutrido de empresas que dan cursos o diplomados a media incluso en Universidades de renombre estos cursos no tienen la consistencia necesaria o informacion de calidad que nos de por entregable un contenido educativo actualizado, especializado y puntual. Cursos y temarios con informacion incompleta o no esta actualizada.

Otros actores que nos encontramos son algunos seudo profesionales que han estado en el mundillo de la Tecnologia o en sistemas y por las circunstancias de negocio levantan la mano (despues de revisar el Google) dicen "ah claro! yo experto en la materia yo se de Seguridad Informatica" y en la realidad es falsa o lejana esa afirmacion.

Existen diferentes tribus dentro de la red que en este Paper no clasificaremos ni les daremos analisis de atributos, pero si mencionaremos que hay personajes que saben realizar acciones que ponen en riesgo la seguridad de los sistemas sin saber lo que hacen, solo ven un video de YouTube, googlean, bajan algun programa y listo accionan y su estimulo de triunfo se ve retroalimentado. Tambien existe mucho charlatan que medio conoce los sistemas y trata de impresionar a usuarios de menor conocimiento. En tierra de ciegos el tuerto es rey reza la frase.

Por otro lado hay importantes entidades que nos aportan gran cantidad y calidad de contenido, respetados en el mundo del Hacking por sus credenciales, conocimientos, experiencia y habilidades verdaderos Iconos y gurus del manejo de las herramientas de seguridad informatica asi como todos y cada uno de los ramales de este rubro. Pero por que nos dan informacion si nada a cambio? Existira algo de transfondo? o estamos viviendo un mundo paralelo y perfecto en donde la informacion y la libertad del conocimiento es gratuita?

Por este medio se pretende dar aportaciones para poder capacitarte, buscar e identificar estas oportunidades de conocimiento, aprovechar los foros que han sido creados por personas como tu y como yo que estan sedientos de conocimiento. Canalizar este impulso interno que nos quiere llevar a sus mas amplios alcances a nuestro intelecto, en donde se energiza el cerebro en saber que tenemos la capacidad de innovar, de ponernos a prueba y de complementar nuestras habilidades, inteligencia y conocimientos.

Para validar la informacion si un foro o una comunidad es buena que necesitamos hacer?, para empezar recomendaria que primero nos sirvan de referencia Comunidades, Paginas, foros o Blogs que tengan cierto prestigio o su permanencia en el tiempo nos de la garantia del porque siguen de pie despues de tiempo de su creacion, tambien las matematicas no fallan ya que el numero de inscritos o visitas es por alguna razon y en la mayoria de los casos es por el exito de los contenidos, el ambiente de los integrantes o por la relevancia de la informacion.

Como evaluar a las entidades que nos dan los cursos de certificación, o los diplomados, o solo pase el examen pero en la practica no puedo hacer nada. Un diplomado, un curso o certificacion (incluso hasta carreras universitarias) es una inversion, es parte de un proyecto de vida, ese es el primer paso que hay que considerar y asumirlo con esta perspectiva. Proyecto de vida, SI! como comprar una casa, como saber si te casas o no, como cambiar de lugar de residencia. Por que dependiendo de tu capacidad y tu conocimiento sumado a tus habilidades, disciplina, profesionalismo, etica, desiciones, etc. Marcan la pauta de lo que sera o es tu vida. Escucho decir que en Mexico hay profesionistas que son taxistas, eso es por encima analicemos de fondo y encontraremos la verdadera razon, pero tambien puedo decir que en ofertas de trabajo Profesionales de TI ganan mas que incluso Medicos. Muchas empresas tienen la vision de cuanto sabes cuanto te pago...

Si la capacitacion y el conocimiento es parte de tu proyecto de vida, que importancia le darias? escogerias una Universidad Barata aun con el conocimiento de causa de que tu forjacion profesional es tu proyecto de vida? Si tu respuesta es si, tu panorama profesional sera dificil y llenos de competencia que tendran siempre algo mas que tu, con grandes desvenajas. Pero si no piensas regalar tu tiempo y dinero con cualquiera que te ofrezca conocimiento por barato que sea y no hay confirmacion alguna de la reputacion del contenido, de la capacidad del instructor, de la presencia y garantia de la unidad educativa, incluso de la actualizacion del contenido. Comprar un auto 1980 con motor nuevo por barato no es una solucion, asi tambien en los cursos " te lo doy barato pero tenemos 5 años de atraso", inaceptable. Cuida tu economia y a tu cerebro.

Por eso analiza los planes de estudio, los temarios, las herramientas, los horarios, el tiempo que te dedicaran como alumno, la actualizacion del contenido, el perfil del instructor, si es certificable o no, si te da pauta a poderte certificar con ese contenido despues, que herramientas te ofrece como complemento academico, que validez tiene en tu pais o fuera de el, etc. Asi mismo los cursos, diplomados, maestrias, etc. si son presenciales, semipresenciales u online no demeditan al curso ni al contenido, recuerda elque genera el contenido, el que hace la metodologia, el que la imparte y la calidad del conocimiento y su material es el que le dara peso, relevancia y garantia a tu aprendizaje.

La seguridad informatica no es seguridad de cajas, si bien importan las certificaciones de producto no son el pilar de la seguridad de la información, te sorprenderias o a lo mejor ya lo sabes que incluso equipo o aplicaciones de seguridad tienen vulnerabilidades, o sistemas que se presumian de inviolables se ha visto hoy endia que si lo son y mucho. Por eso es una combinacion de conocimientos y de mantenerse actualizados. Si complementate con certificaciones de producto pero si no lo respaldas con conocimiento propio y basto en temas de seguridad informatica estaras incompleto y en vez de ser un consultor o un profesional del ramo seras un representante de marca sin el sueldo del fabricante.

La seguridad informatica y el Hacking merecen respeto, si bien parecerá una expresion exagerada (para muchos no es asi) es verdad respetar esta ciencia (permitanme llamarla asi por su complejidad y por que requiere investigacion, actitud, disciplina, enseñanza y desarrollo propia de la materia) y se respeta con conocimientos. El bajar un archivo y realizar una accion maliciosa no es Hacking, realizar un deface en una pagina Web no es hacking (muchos me disculparan aqui). Ser Hacker va mas alla es una ideoligia, una serie de acciones y hasta comportamientos que lo que buscan es de liberar la mente, el conocimiento, el reto, el ayudar, la mejora continua y la sana adrenalina. Ganemos con conocimiento y respeto el Grado de Hacker
La captura del conocimiento, el compartirlo y el retorno de la experiencia mejorada. Entramos a un foro y es un mundo distinto al fisico, leemos a personas pidiendo ayuda, orientacion, explicaciones y compartiendo vivencias. Pero tambien hay personas que aportan una calidad inmesurable de conocimiento y buscan que sea transmitida y mejorada, asi mismo que regrese esa informacion con tus vivencias y aportaciones. Quita el egoismo y el protagonismo cuando entres a los foros. Formula bien tus preguntas e identifica tus necesidades, recuerda que hay algunos con mal humor pero a pesar de ello si ven en ti humildad y lo mas importante ganas de aprender y de escuchar te garantizo que te ayudaran. Formular bien las preguntas por que a veces es cuestion de causa y efecto, pregunta estuida respuesta estupida, no por ser basica es estupida recuerda solo hay que formularla bien, delimitar el problema claro y saber que esperas por respuesta. Se pasciente y disfruta del intercambio, recuerda por valor civil y hasta estrategico si te ayudaron por favor ayuda.

No creeras que inducirte a todo este mundo de la mejora continua, de la evolucion del intelecto cuanto cambiara tu vida, nosotros tomamos todas nuestras desiciones en base a las herramientas que tenemos a la mano y una de ellas es nuestro cerebro, nuestro sentido comun. El leer algo y despues investigar que puedes crear con ello te llevara las masaltas dimensiones de la autoestima y la realizacion si bien Maslow nos dice en su piramide que el nivel mas alto es la realización del ser humano y el primario es el alimento y las condiciones basicas para vivir. El alimento de nuestras almas en la autorealizacion en hacer lo que a nosotros nos gusta y nos llama.

A lo largo de lo que he caminado en temas de TI he descubierto impirtantes temas, en diferentes sitios con diferentes talentos, asi que como guia quisiera mencionarte foros, paginas, personas, situaciones que al acercarte a ellos, leer material de ellos te daran una vision 360° de manera objetiva, profesional y de calidad para que hagas tus pilares del conocimiento, sin orden de importancia te menionare por genero algunas recomendaciones personales. (estas sin importar que se crea que es para quedar bien o hacer adulador de estas entidadse o personas, si bien si es directo es recomendar ampliamente su gran labor y que sepan que da resultados en mi u otras personas)

Para mejor comunidad de Seguridad informatica en Latinoamerica, por su excelente foro, por el tiempo que lleva, por el numero de seguidores, por la calidad de persona que es Jaime su creador, por muchisimas cosas que deberas de evaluar visitandola



Otras comunidades de gran renombre en idioma español que recomiendo ampliamente son las siguientes

Se denominan inteligencia colectiva muy bien ganado y son http://www.taringa.net/
Milenaria y respetable comunidad y que no debes de perderte es: http://www.elhacker.net/
Nace de cuadernillos tecnicos y en Españase vuelven un gran proveedor de conocimiento y como toda evolucion nos traen en internet con su pagina recientemente mejorada y son: http://www.hackxcrack.es/ 
Excelente contenido por parte de un gran equipo con mas de 10,000 seguidores tenemos a: http://www.securitybydefault.com/
Un Blog de una persona que en lo personal admiro mucho y lo conozco de sus primeras apariciones en Mundo Hacker es: http://www.diariodeunhacker.com/

Para mi una gran influencia y lo he mencionado en inumerables ocaciones es Mundo Hcaker quien lo conoci por medio de sus podcast que eran muy innovadores con gran contenido acargo de Antonio Ramos que no tengo el gusto de conocerle pero espero algun dia poder platicar o intercambiar informacion con este gran profesional del Hacking y su enlace es MundoHacker TV 

Profesionales que incluso tenemos varios proyectos en el tintero son unos buenoas amigos que desde España nos ponen un proyecto interesante con un flujo especial y ellos son los amigos de:


Tambien las redes sociales nos entregan gran calidad de informacion por ello te recomiendo si no tienes cuenta te des de alta inmediatamente en Twitter y si ya la tienes sigues a los que te presento a continuacion y es garantizado la experiencia de conocimientos, tips y grandes aportaciones:

Excelente profesional y amigo, con grandes conocimientos, mi mentor y ahora trabaja para Karspersky recibe calidad de conocimiento de unos de los mejores trainner de Latam y es: @r0bertmart1nez

Como referencias de la comunidad DragonJar el twitter de un gran amigo y aliado es: @DragonJAR

Si de verdad quieres conocer en voz de un experto y uno de los hombres que mas viaja en Mexico acerca de temas de computo Forense no puedes quedarte sin escuchar y leer a Andres Velazquez: @cibercrimen 
su pagina y escuchas sus podcast es: http://www.crimendigital.com/

Los integrantes de Mundo Hacker tambien estan en twitter son excelentes profesionales y grandiosos seres humanos y sus cuentas son: @yadox  @JeanPaulGM

Excelentes aportaciones de ambiente Linux estan: @DesdeLinux @alvarezp2000 @zoftweb @canal_linux

Increibles aliados y profesionales de talla internacional son: http://www.cyttek.com/ 
con su cuenta de Twitter @cyttek con lo mejor de capacitacion a nivel mundial y servicios de seguridad de la información

 
 Una pagina que es como mi segunda casa o mi segundo Host es la obligada:


Por lo extenso de los contenidos y de los sitios de consutlta dejo estas primeras aportaciones que para mison los pilares que te daran criterios solidos de donde capacitarte, como ser un profesional, incluso si lo eres mejorar, investigar e innovar.

De cada individuo depende su realizacion adopta a tu proyecto de vida actualizar tus conocimientos y aperturate al intercambio de informacion y haz una correcta eleccion en tu capacitacion, invierte dinero y tiempo y veras que tendra frutos. Recuerda:

Lo que hagamos hoy hara eco en la eternidad
Seguimos informando



 








jueves, 31 de mayo de 2012

Escucho seguridad informatica o inseguridad en la red, que hago?

En la actualidad todos hemos escuchado acerca de ataques a las paginas Web, acerca de los malawares, temas relacionados con el robo de identidad, fraudes en la red, libertad de informacion, acciones de los gobiernos queriendo controlar el internet, pero... que hago como administrador de una red en una empresa, o que hago como usuario? 

Existen varios caminos que podrian ser los siguientes:

  • Informarme, actualizarme y capacitarme en tecnicas, en procedimientos y metodologias de proteccion en los sistemas de seguridad de la informacion que administro en los sistemas.
  • Investigar las mejores practicas para evitar los riesgos catastroficos en mi informacion.
  • Contratar o asesorarme pro profesionales en sistemas de seguridad de la informacion.
  • No creer en nada y simplemente decir que jamas nos pasara nada. 
Tanta y tan variada informacion asi de excelente asi de falsa, se necesitan correctas orientaciones no de mediocres y falsos gurus, existen endidades que se hacen llamar hackers eticos que sus lenguajes y actitudes lo unico que se les persive es su falta de educacion, su poca cultura y por ende una etica dudosa.
Sin embargo existen comunidades, profesionales, sitios en la red o en el mismo twitter que no solo nos alimentan el alma sedienta de conocimiento si no que nos proveen de informacion filtrada, de reportajes dinamicos y actualizados, de tutoriales que nos invitan a seguir informandonos y ha experimentar experiencias profesionales inigualables. Tambien nos dan etica o el otro lado de la moneda.

Si no es un requisito escrito la verdad si es requerido por el entorno el investigador del mundo binario debe de tener espiritu de aventura, ganas de alimentar el intelecto a diario, de poder manterese actualizado, que sea parte de su estilo de vida el querer mas y mas informacion. Pero tanto como el apasionado que quiere ser experto o informado asi como el usuario final temeroso hay mucho valor en la red en relacion al conocimiento y la orientacion que se puede adquirir.

Tambien en la red podremos encontrar aportes que nos pueden dar el apalancamiento para crecer en nuestra vida profesional, por supuesto desinteresadamente encontraremos aportaciones de calidad gratis algunas otras con costos solo representativos y unas mas que al pagar en verdad son genuinas inversiones.

En el caso de los empresarios que a veces tachan de exagerados o abusivos a sus administradores de sistemas, o a los consultores profesional en seguridad les califican como que se les vende el miedo para poder comprarnos algun articulo o aplicacion de seguridad informatica, a ellos les digo que por que ellos no creen en los riesgos de la inseguridad informatica o que tambien existe productividad y tranquilidad con seguridad de la informacion, no dejara de pasarles nada si no por el contrario entre mas indefensos esten mayor sera el riesgo y no por amenaza si no por una realidad inminente. Tambien escucharemos frases que nos dicen que durante 20 años no han pasado riesgo alguno pero hace 20 años no teniamos esta evolucion informatica ni el armamento cibernetico tan evolucionado y tan al alcance de todos en la red, de hecho las transacciones de informacion no eran tan comunes en tiempo real, con tanta demanda por medio de la red y tan vital como lo es actualmente. No por no creer en el cancer no te dara, no por no creer en la muerte no moriras, las cosas pasaran frente a todos y tarde que temprano las veremos. Bob Proctor nos dice en el libro "The Secret" no se como funciona la energia pero la uso todos los dias, no hay peor ciego que el que no quiere ver...

Independientemente de las modas y de la posicion ventajosa que muchos persiven en el vocable Hacker existen muchas cosas mas alla de ello, en este articulo no sera el objetivo hablar que tan bien o mal es aplicado este termino, si son malos o buenos, las unicas cosas que se aportaran es que gracias a los Hackers los sistemas se han convertido en mas seguros, que los Hackers deben de ser considerados como cientificos investigadores y que los verdaderos Hacker proveen mucho y nadie les da nada por que sus recursos de tiempo y dinero son aportados a las comunidades que verdaderamente aman y que dia a dia estan comprometidos con aportar y apoyar.

Este articulo lo que quiere hacer es un homenaje informativo a verdaderas entidades que en lo personal han aportado y aportaran informacion de calidad que incluso me han impulsado a ser parte de este rubro la seguridad de la informacion y me han sacado incluso de mi profesion original y yo empece impulsados en su momento por los podcast de Mundo Hacker quien en tenia como integrantes a Antonio Ramos Varon (mi mentor y el sin saberlo) Jean Paul Garcia, Jacinto Grijalba, Yago Hansen, etc. y en estos podcast se mostraba el interes de buscar de comparar y cotejar la informacion en la red acerca de la seguridad que ellos de manera pionera nos aportaban de la problematica existente.

Asi como hemos comentado que hay basura en el internet existen tambien informacion de calidad absoluta, por lo que en este articulo acercaremos a los que en lo personal son lo mas representativo y que nos proveen de informacion de calidad, tambien el ir investigando e informandonos de los temas de seguridad informatica, tecnicas, vulnerabilidades, areas de especialidad, etc. Tambien empezaremos a tener una evolucion del intelecto por que conoceremos cuales son las verdaderas acciones Hacktivistas, que movimientos son genuinos en la red, que es anonymous y que persigue realmente, cual es la cultura profesional y evolutiva que sube aportaciones en la nube de manera real y sin doble moral y no va mas alla con el afan de aportar algo en esta vida. Conoceremos a personas que detras de ese nick a veces se preocupan mas por tu bienestar que algunos de nuestra propia familia. Son tantos y tan variados que espero no excluir a ninguno y en caso de hacerlo estoy a sus ordenes.

Por orden no tanto de importancia si no mas bien como los he descubierto y conforme se me vienen a la mente, pero en verdad no soy ninguna entidad que este recibiendo favores o dinero a cambio de estas recomendacion si no por el contrario algunos ni me conocen de otros soy buen amigo como resultado de la profunda admiracion y respeto que tengo a su labor y sus trabajos.

El mitico podcast de Mundo Hacker que era transmitido por una estacion de radio por internet y que posterior a ello se encontraban dentro de los podcast de Itunes, ahora en video por un nutrido staff de verdaderos profesionales y gurus de la materia y personajes que ponen el nombre en alto a los Hackers, como moderador Antonio Ramos quien aporta una excelente integracion a los temas, una inversion de tiempo.




Comunidad internacional de orogen colombiano donde puede uno hacer carrera, si asi como lo oyes, existen cursos, foros, certificaciones, talleres y eventos, en las modalidades de gratuitos y con costo de recuperacion en donde verdaderamente recibes informacion actual, dinamica y muy edificante. Un verdadero refigerio al alama, creado por un gran profesional y amigo Jaime Andres Restrepo




Flu Project interesante y muy respetable proyecto que aporta calidad de conocimientos, nutrido por 2 expertos de la materia que no solamente nos dan aportaciones, tips y cultura tecnica importante si no que nos da aportaciones de innovacion propia, este proyecto atinadamente descrito por ellos mismo dice asi " El proyecto consiste en el desarrollo de una aplicación para el control remoto de máquinas Windows a través del troyano Flu, orientado a la generación de botnets a través de la tecnología HaaS."
Dentro de mas maravillas que encontraras en este profesional ecosistema





Especialista y verdadero guru mitico del mundo del inalambrico, estudioso y analista de la seguridad en WiFi integrante del experto staff de Mundo Hacker, buen amigo e inspiracion que cuenta con una comunidad y noticias de primer nivel asi como actuales y dinamicas. Verdaderamente recomendable a un experto de su talla.




Comunidad legendaria con muchisimas aportaciones desde noticas hasta tutoriales completos, cursos, foros, reportajes de temas diversos de gran calidad con una interaccion de sus integrantes muy dinamica digna de pertencer, conocer y aportar.



Excelente pagina de los creadores de los famosos y exquisitos cuadernillo de Hack X Crack estos eran dentro de las mejores aportaciones en temas de Hacking, hoy en dia todavia recomendable y verdaderas joyas tecnicas, en la actualidad un sitio que no puede faltar jamas dentro de nuestra cultura general en temas de seguridad informatica.



Excelente Blog que es el resultado del cumulo de intercambios de informacion en temas de seguridad informatica, expertos en la materia de seguridad de la informacion como es: Alejandro Ramos, Lorenzo Martinez, Yago Jesus y Jose Guasch, con un ampli temario que ellos denominan Nube de etiquetas. Parte de nuestra cultura de calidad.


Comunidad extensa y variada en donde en lo personal sigo la parte de programacion, debido a que tiene excelentes reportajes y fabulosos tutoriales, en donde incluso es mencionado en su libro de Hacking Etico de Carlos Tori como recomendacion para conocer a programar como herramienta que sera necesaria al adentrar a este mundillo de Seguridad informatica



Toda una experiencia en donde estaras muy inforado y forjado con todos los temas de Linux desde cero, LInux una fuerte herramienta que nos da la oportunidad de aplicar y usar muchas herramientas de seguiridad y asi mismo la libertad de poder estar con el sistema operativo mas robusto y dinamico, conoce sus diferentes sabores y aprende desde cero Linux




Poderosisima Distro con herramientas de alto calibre y de lo mejor que existe en temas de seguridad, uno de los sitios de respeto que nos aportan herramientas en un solo ecosistema, un amplio mundo que puede estar dentro de un mobil hasta en Main poderosos


Sitio de variados temas, legendario y muy conocido por todos, actualmente victima de los abusos de los gobiernos relacionados al control absurdo del intercambio de informacion en la red, ha dado por medio de su comunidad valiosas aportaciones tanto en temas coloquiales para usuarios finales como temas de alto calibre tecnico para especialistas, un icono de la cultura binaria.



Sitio dedicado a la informacion profunda y profesional acerca de un tema importante y respetable que es el computo forense, el cual esta dignamente representado por Andres Velazquez, experto y conferencista en los temas de seguridad informatica y computo forense, con espiritu entusiasta es un gran proveedor de calidad de informacion que es muy recomendable dentro de nuestra canasta basica y estrategica de enlaces de conocimiento. Excelentes podcast muy nutridos donde hasta recomendaciones musicales podremos obtener

WifiSlax potente herramienta para el mundo de la seguridad WiFi, una herramienta dominadisima por un gran amigo Yago Hansen guru en este tema, importante y respetable sitio proveedor de esta distro increible



Normativa para la correcta gestion de la informacion, el llevar procedimientos dentro de nuestra organizacion orientados a la seguridad informatica, sitio donde podremos conocer acerca de la certificacion, de los alcances, las buenas practicas y mas...



Es una asociación civil sin fines de lucro creada en noviembre de 1994 por un grupo de empresas líderes de los sectores de Electrónica, Telecomunicaciones y Tecnologías de Información de México, convencidas de la necesidad de contar con un organismo de jurisdicción nacional que tomara en cuenta sus necesidades y puntos de vista, tanto en la normalización como en la certificación del cumplimiento con las Normas Oficiale, da servicios que proven seguridad y confianza a la industria, certificando las principales aristas de TI
NYCE 
 Una de las principales instituciones certificadoras y proveedora de metodologias para Hacking Etico, analizis de vulnerabilidades, computo forense y Pruebas de penteracion en sistemas, de lo mas prestigiado en certificacion del rubro de seguridad


 Dentro de twitter encontraremos a increibles profesionales que a continuacion mencionare debido a que son vitales, importantes, enriquecedores y valiosos cada uno de sus tweets.

@r0bertmart1nez experto profesional en seguridad informatica, iinstructor certificado EC Council, analista de Malaware de los laboratorios Karspersky, fabuloso expositor e importante fuente de informacion.
@DragonJAR cuenta oficial del fundador de la comunidad DragonJar aqui mencionada
@canal_linux Proveedor de tweets de constante conocimiento acerca del mundo linux, muchisima informacion de gran calidad seguirlo es una inversion
@hackplayers informacion de calidad dinamica y al dia no te lo puedes perder
@HackHispano  la informacion es importante y en español aun mejor, proveedor de informacion de los temas actuales de seguridad informatica con alta eficiencia
@RCaball3r0  informacion atinada del mundo Microsoft en donde un profesional como Roberto nos dice las nuevas tendencias de seguridad de Microsoft y lo que actualmente es estrategia en este mundillo
@CyberCrimeNEWS  un verdadero bombardero profesional de informacion, conectando con esta cuenta estaras 100% al dia completamente garantizado
@jantonioCalles  de los creadores de Flu Project aparte de ser un excelente ser humano es una valiosa fuente de informacion, lee y aprende
@JeanPaulGM  @yadox  gurus del staff de mundo hacker mentores del Hacking hombres profesionales de palabras de gran valor
@GuadalajaraCON  organizador de evento exitoso en Guadalajara con los grandes en seguridad informatica un increible fuente de informacion digna a seguir
@bSecuremagazine  jamas dejar de lado las increibles noticias que nos provee su sitio y esta repetable y admirable cuenta
@SeguInfo  Actual, dinamica, fresca y confiable son algunas de las caracterizticas de la informacion que nos puede dar esta cuenta
@unamcert Sitio de la UNAM dedicado a informar temas e investigaciones relacionadas con la seguridad informatica y las amenazas en la red
@4rqu1nf0rm4c10n Investigador, aprendiz y buscador de informacion de valor en temas de seguridad informatica, capacitacion y entornos profesionales

y muchisimos mas... que iremos aportando dentro de este blog.

Para conocer mas y mejor debemos de ser guiados por fuentes, para tener una mejor calidad de vida debemos de estar mejor calificados, mejor preparados, mas actualizados y roderanos de exitosos para llegar a los exitos deseados y aprender de los grandes.

Aqui daremos a conocer informacion de cursos, tutoriales y herramientas de verdadera calidad.

Por un mundo mejor hay que recordar que lo que hagamos hoy hara eco en la eternidad...



domingo, 19 de febrero de 2012

Necesito un SERVIDOR?


Compartir información de manera protegida y administrada, poder asignar niveles de acceso a usuarios a la información, Dificultad al querer ingresar a la información fuera de oficina, se abren carpetas de documentos sin ninguna restricción y ningún orden, inversión innecesaria de tiempo en la búsqueda de datos, extravió de datos importantes de la empresa o de difícil acceso perdiendo valiosas horas hombre, administrar o asignar aplicaciones a los usuario dependiendo su demanda, etc.



 A veces existen una pregunta latente de los dueños de algunas empresas y más de la mayoría de los empresarios PyME, Para que me sirve un Servidor? O simplemente no esta dentro de su plan de negocios, ni considerado como presupuesto ni como un Activo fijo para la empresa. O simplemente desconocen esta partida dentro de sus sistemas de información.
Para ello los encargados del área de sistemas tanto externos como internos de la empresa y/o institución nos damos a la tarea de justificar y calcular la presencia de un servidor dentro de la empresa para poder evaluar incluso la factibilidad de para que y en que se usara el servidor así de como se complementara las aplicaciones tan mencionadas hoy en día de la denominada NUBE (dentro de esta justificación también deberá de estar implícito la dimensión tecnológica del servidor para dar características y tipología del mismo).

Como primer paso seria entender o hacer mención al empresario o inversionista las capacidades con las que puede alcanzar con un servidor, dentro de las principales podrían encontrarse.

  • ·        Centralizar el almacenamiento de la información asignando diferentes escalas de accesos, distribución de la información, compartir información de almacenamiento o circulante, información centralizada que deba ser actualizada con controles de cambios, compartir bases de datos, etc.


  • ·       Ejecución de aplicaciones necesarias para la operación del negocios, como pueden ser administradores de bases de datos de clientes (CRM), programas para correr la administración, contabilidad e impuestos (ERP), Control de inventarios, almacén o hasta punto de ventas, incluso aplicaciones particulares que pueden ir desde diseño hasta simuladores científicos, etc. También se pueden compartir impresoras y servicios de recurso como Internet, Voz sobre IP, etc.

  • ·        Protección de la información critica de negocio de desastres o robos

Una vez alcanzada esta visión de los alcances que se pudieran ejecutar en el servidor, (este alcance incluso puede ser mas extensos estos alcances dependiendo el tipo de empresa o institución alcanzando mas aplicaciones, recursos o tareas programadas) debemos de conocer el alcance de los usuarios potencialmente activos de los servicios del servidor.

Los usuarios se pueden identificar por sus requerimientos para poder dimensionar los mismos, por ejemplo:

  • ·       Cuantos usuarios utilizaran correo electrónico (desde aquí es importante hacer políticas de saber a quien se le asignara correo?, cual será su uso? E institucionalizar la salida e intercambio de información)

  • ·   Aplicaciones (programas) que pueden ser estratégicos, necesarios y/o estratégicos para la empresa o institución, conocer las características en las que pueda correr la aplicación, pero no solamente que sean las mínimas si no preguntar al fabricante en relación a las optimas (Megas en RAM, capacidad de disco duro, tipo de procesador, sistema operativo, etc.

  • ·    Conexiones remotas o accesos de sucursales foráneas, acceso de usuarios de tipo SOHO (contracción de small office – home office), Comunicaciones con el exterior, internet o servicios de Telefonía IP, transacciones externas, etc

  • ·         Considerar pagina WEB de la empresa o Institución

·         Dictaminar el sistema operativo del servidor (parte vital para calcular y especificar las características del hardware del servidor), en esta parte polémica debemos de dictaminar de manera objetiva y funcional si bien especificamos tecnologías que conocemos también es necesario considerar compatibilidades del sistema operativo y de las aplicaciones, la educación tecnológica y la tipología de los usuarios, políticas de seguridad, almacenamiento, disponibilidad y respaldo, acceso al soporte técnico en función de la imagen del responsable o administrador de este servidor refiriéndonos en sus conocimientos técnicos, importante la capacidad de inversión del cliente o usuario, disponibilidad de actualización de seguridad, estabilidad del sistema, características del Hardware en el cual puede desarrollarse con mejor desempeño, por tamaño de usuarios, multitarea y multiusuario, Escalabilidad y/o obsolescencia, analizar como se desarrolla la interacción ambiente cliente servidor,  etc. Estas dentro de las principales si bien pueden ser muchas a titulo personal deberán de ser consideradas con estas mínimas bases un gran sentido común orientado a dejar sobrados los alcances así mismo justificar que sea la inversión mas exacta.


Sistema Operativo
Conectividad
Confiabilidad
Estabilidad
Escalabilidad
Multi-usuario
Multi-plataforma
POSIX
Propietario
UNIX
Excelente
Muy Alta
Excelente
Muy Alta
Si
Si Múltiple
Si
Si
Windows NT
Muy Buena
Baja
Regular
Media
Inseguro
Parcial
Limitada
Si
Netware
Excelente
Alta
Excelente
Alta
Si
Si
No
Si
Linux
Excelente
Muy Alta
Excelente
Muy Alta
Si
Si Múltiple
Si
No

El servidor interactúa con tecnologías para la transmisión de datos como son desde lo físico que es un cableado estructurado, pasando por el equipamiento activo (switch, router, modem, etc.) para la transmisión, equipos de protección de amenazas (equipo de seguridad informática), etc. Estas tecnologías deberán de ir en la misma sintonía que el servidor central para que existan los desempeños óptimos debido a que es muy común que por ejemplo a veces se adquiere un switch que reparte en diferentes puertos velocidades de 10/100/1000Mbps y cuentan con un cableado que su calidad y estructura nos permite solamente poder transportar 10/100Mbps siendo este ultimo el rendimiento máximo.

Por no hacer una integración homogénea no encontramos con redes lentas, servidores que se resetean constantemente, perdidas de procesos de información,  lentitud en desempeño de aplicaciones y mas, que todo ello también se transfiere a perdidas del negocio por que tener procesos que demanden muchos pasos y tiempo existen altos márgenes de error asi como perdida de tiempo productivo de los empleados.

El sentido común también nos llevara a la correcta asesoría o llegar a la correcta decisión de la justificación y adquision de este tipo de tecnologías.



Hoy por hoy sigue siendo estratégico la adquisición de un servidor incluso para las PyME´S hasta grandes corporaciones si bien es cierto que los servicios de la Nube también nos pueden proveer estratégicas soluciones que pudieran estar en nuestro servidor es estratégico el poder contar con soluciones hibridas que serian tener servidor y algunas aplicaciones o información en la Nube.