miércoles, 26 de abril de 2006 6 comentarios

El efecto AXE del sector blogero

Aunque llevo tiempo ya con esto del blog, este mundillo no deja de sorprenderme. Hoy he sufrido la versión española del fenomeno conocido como "efecto Slashdot" o como yo he querido titular, efecto "AXE" del blog que en particular en mi caso ha sido simplemente el "efecto Sergio Hernando".

Uno sabe que escribe cosas que interesan y que pocos escriben sobre estos temas tan emergentes actualmente. El tener un numero pequeño de visitas pero al menos constante hace ver que hay un público que siempre está ahí pendiente de alguno de mis comentarios que en general intentan o bien dar recomendaciones sobre pequeñas aplicaciones que solucionan grandes problemas o bien mostrar por donde creo que va a ir la tendencia en esto de la "seguridad de la información". Cuando gente de la talla de Sergio Hernando o Javier Páges te referencian alguna vez, asume que alguno de los post deben proporcionar una visión interesante en materia de seguridad de la información, pero sin llegar a la suela del zapato del maestro Bruce Schneier que siempre resuelve cuestiones muy complejas de forma magistral con sencillez, simplicidad. Me gusta porque tiene una visión próxima y tangible del tema que piensa en el pobre usuario final que verá la seguridad como una restricción o un obstáculo.

En cualquier caso, el "efecto Hernando" de hoy destaca por si solo. Me he permitido capturar la gráfica de visitas de hoy para ver lo significativo que ha sido, dado que ha dejado muy "pequeñitas" las barras que todos los días veía como grandes en relación al tema que ocupa este blog. Desde mis comienzos estoy suscrito a Noticias Una-al-día de Hispasec porque todos los días te alimenta con alguna información interesante y te mantiene al día respecto al estado de la seguridad. La noticia de hoy relacionada con la continuidad de negocio incluía una referencia al apunte que realicé y el gráfico de arriba son sus principales consecuencias. Evidencia el peso y la importancia que tiene Hispasec:Una-al-día dentro del gremio de la seguridad.
martes, 25 de abril de 2006 2 comentarios

Novedades en el borrador de reglamento LOPD

Leo vía www.jurídicas.com un artículo de Carlos Alberto Sáiz Peña en donde se destacan de forma resumida los aspectos más novedosos del borrador de reglamento que circula por la red. Está siendo distribuido en algunos foros como una manera de sondear el posible impacto que pudiera tener su entrada en vigor. Aunque ya lo tuve en mis manos en su momento, el resultado actual es todavía muy provisional porque son muchas las asociaciones profesionales que están poniendo pegas a este nuevo marco regulatorio.

Se puede también observar en el texto, que la Agencia de Protección de Datos está intentando enmascarar bajo la reforma del reglamento de seguridad, un conjunto de aspectos jurídicos que deberían ir en la revisión de la Ley 15/1999 de Protección de Datos. El enlace con el texto completo puede obtenerse en El nuevo borrador de reglamento LOPD.
lunes, 24 de abril de 2006 0 comentarios

Checklist para detectar intrusiones en sistemas Windows

Vía el USA-CERT he encontrado Windows Intruder Detection Checklist, una guía práctica a modo de lista de comprobación para realizar las comprobaciones básicas que permitan deducir si nuestro equipo ha sido objeto de intrusión.

En cada una de las tareas, se incluyen las herramientas freeware y comerciales oportunas.
viernes, 21 de abril de 2006 1 comentarios

Seis consejos básicos para recuperarse frente a contingencias

Vía ComputerWorld, aparece un artículo titulado Top six steps toward disaster recovery.

En relación a la futura aparición de una norma para la elaboración de planes de contingencia y de continuidad de negocio, aparecen en esta Web seis sencillos consejos que no quería dejar de comentar en este blog:

1.- Probar las copias de seguridad: parece evidente o de sentido común, pero como se suele decir "el sentido común no es el más común de los sentidos". Se supone que una copia de seguridad está para salvarnos cuando ya el daño se ha producido y por tanto, no es el mejor momento para comprobar que las copias se estaban realizando bien. Por tanto, dado que esta medida se hace por un motivo, que menos que tener absoluta certeza de que el paracaidas funcionará cuando estemos en el aire, ¿no?

2.-Gaste un poco de dinero en su software de backup: aunque el precio no lo es todo, hay software de gestión de copias que permiten una recuperación mucho más rápida o directa que otros. Entre elegir una copia en DVD con nero que genere 15 DVD o comprar un disco duro espejo puede haber una diferencia económica importante, pero cuando el tiempo apremia, estas horas/minutos pueden ser críticos y sobre todo rentables. Pensemos si nuestro modelo de negocio puede perder una cantidad económica importante si en una hora x, minuto y no somos capaces de enviar una información almacenada en nuestros servidores de ficheros.

3.- Semanalmente saque los soportes de copia fuera del sitio donde se encuentran los sistemas informáticos que se pretenden proteger: si tenemos copias las contingencias frente a las que podemos recuperarnos pueden ser varias. Si las copias no salen fuera, estaremos reduciendo las posibilidades de daño frente a incidentes como virus o avería que impidan el acceso a la información en los sistemas. Si además, las copias salen fuera de las instalaciones, estaremos garantizando la recuperación frente a amenazas del tipo incendio, inundación o evacuación de instalaciones.

4.- Bloquear el acceso físico a los sistemas informáticos: es cosa de matemáticas, a mas gente dando vueltas en las instalaciones donde se encuentran los sistemas informáticos, más probabilidades de que alguien haga algo que produzca daños. Por tanto, evitar y controlar todo lo posible el acceso físico a las salas donde se encuentran los sistemas de información.

5.- Establecer un plan por si la oficina se quema: siempre choca cuando se habla de planes de contingencia o negocio que a los entrevistandos se les pregunte por "-¿Que pasaría si su edificio se derrumba o queda destruido por un incencio?". Normalmente te miran con cara de "este consultor esta ido" y las respuestas siempre son "Eso aqui es casi imposible" o "eso no nos puede pasar" como si el incendio del Windsor o las inundaciones del Katrina no pudieran sucedernos por estas latitudes. En cualquier caso, mejor no tener que pensar en qué daños se han sufrido cuando ya los hechos se han producido.

6.- ¡Escribir el plan de continuidad de negocio!: esta es quizás la que a priori todo el mundo ve como la medida más inutil o farragosa, pero el tema está en que lo que no se encuentra escrito al final nunca se sabe como se va a desarrollar. El depender del criterio que se enfrenta al problema no es siempre garantía del éxito. Un plan de continuidad de negocio está para dos cosas muy sencillas y básicas:
a.- Responder en frio a cuestiones que se producen en situaciones muy calientes.
b.- Atender la recuperación de servicios en función de los requisitos de negocio, por tanto se recuperará primero lo que es más rentable que sea recuperado. Y eso, señores, no lo sabe el informático de turno sino la dirección.
jueves, 20 de abril de 2006 0 comentarios

Freeware para resolver problemas comunes como usuario

Leo desde el Blog de Sergio Hernando, una referencia a un web con más de 400 programas freeware para resolver todo tipo de cuestiones que se plantean a un usuario común en Windows.

Dado que la propia Web de eConsultant las agrupa por categorías y funcionalidad, creo interesante hacer referencia directamente a la Web via el siguiente enlace: I want a Freeware Utility to ... 450+ common problems solved : eConsultant
miércoles, 19 de abril de 2006 0 comentarios

Desinformación, manipulación y abuso del desconocimiento legal

Hace una semana diferentes medios se hacían eco de una noticia relacionada con detenciones a ingenieros informáticos relacionados con el P2P. Como fuentes origen de la noticia y para entrar en contexto sobre lo que quiero comentar a continuación señalo lo publicado por Telecinco y El Mundo.

Siempre que se habla de delitos relacionados con el P2P, los titulares suelen ser escandalosos y sensacionalistas. En general, con este tipo de noticias, siempre hay que dejar pasar los días para ver en que acaban estas "detenciones".Despues de tanto ruido y de una nota policial alarmista, resulta que la operación policial no fue una redada sino que llevaba meses gestada.Además, al final todos los detenidos fueron liberados sin cargos y sin fianza.

Sin querer que se me confunda, no trato de hacer apología del delito contra la propiedad intelectual, pero no me parece ni "ético" ni "justo" que se criminalicen cosas que no lo son. Y esta polémica que abusa de la notoriedad mediatica está siendo respondida desde los blogs, como unidades "más independientes" a la hora de aclarar o indicar que conductas son delictivas y qué conductas no lo son.

Resumo a continuación, del blog Alt1040 algunas cosas que hay que destacar:

La operación “Descargas en la Red” en España es sólo «FUD»FUD: Fear, Uncertainty and Doubt — traducido al español: Miedo, incertidumbre y duda; estrategia usada para sembrar noticias falsas con el único objetivo de perjudicar.

La operación “Descargas en la Red” donde supuestamente capturaron a 15 personas que operaban sitios con enlaces a a redes P2P resultó ser justamente eso, sólo FUD. Adriano Morán lo explica en Informativos Telecinco:

La Policía difundió el sábado una nota de prensa en la que anunció quince detenciones en una operación contra las “descargas ilegales”. Informativostelecinco.com ha podido saber, por el testimonio de una de las personas a las que se tomó declaración, que ese día no había ninguna persona detenida. Por alguna razón, la Policía tardó más de diez días en dar la noticia y la hizo coincidir con otra operación muy diferente contra la pornografía infantil.

Fuentes de la Policía han declarado que ambas notas “no tienen nada que ver” y achacan su coincidencia en el tiempo a “los envíos conjuntos de la Brigada de Investigación Tecnológica” descartando así ningún interés especial por relacionar ambas noticias.

Como se explica en la noticia, de acuerdo a uno de los llamados a declarar —que prefiere mantenerse anónimo— “la operación parece hecha para “meter miedo a la gente” y cree que tras ella existe una clara voluntad política, apunta, “en sintonía con las gestoras”, en referencia a las asociaciones que gestionan los derechos de la propiedad intelectual.”

Entonces no olvidemos algunas cosas:

-Descargar y compartir música (sin fines de lucro) no es ilegal.
-Poner enlaces a torrents o descargas en eMule no es ilegal.
-Multar a personas por compartir música es ilegal.
-Que un medio, o el representante de turno de X sociedad colectiva de autores diga que cierto acto es ilegal, ¡no lo convierte en tal! — infórmate, la ley está para protegerte.


Otros blogs que hacen reflexiones idénticas son:
- Escolar.net
- Espacio Filmica
- "El ánimo de lucro se utiliza como herramienta para cerrar páginas con enlaces a contenidos P2P

Y por terminar con argumentos jurídicos estas reflexiones, tenemos ya algunas sentencias exculpatorias sobre webs que contienen enlaces a contenidos ilícitos como Caso "Ajoderse.com", porque si no es delito para un buscador, no lo puede ser para una Web de contenidos.

La Polícia Tecnologica debería obrar con más delicadeza y diligencia, porque aqui no valen las detenciones sino las sentencias, porque luego estos titulares se transforman en ridículos.
martes, 11 de abril de 2006 2 comentarios

La continuidad de negocio será ISO 27006 (Obsoleto)

NOTA: Este post ha quedado desactualizado porque ISO 27006 finalmente ha sido utilizado para establecer los requisitos de acreditación sobre las entidades de certificación de la norma ISO 27001 como indica Saioa en sus comentarios y ya publiqué en ISO/IEC 27006, Requirements for bodies providing audit and certification of information security management systems


ISO ha anunciado un nuevo proyecto que se etiquetará ISO 27006 “Guidelines for information and communications technology disaster recovery services”, basado en SS507. La publicación se espera para noviembre del 2007. Según aparece en la Web www.iso27001security.com el cuerpo del borrador de norma propuesto tiene el siguiente contenido:
"0. Introduction
The ICT DR Services Model or Framework - showing the foundation layer to define supporting infrastructure from which services are derived, such as policies, processes, programme, performance measurement, people and products.

1. Scope
Describes the purpose of this standard, assumptions made when using this standard and what is excluded. Introduces subsequent clauses and explains their interpretation

2. Definitions
Defines terms used within the standard to establish a common understanding by the readers.

3. General Guidelines
Basic guidelines for the ICT DR services provision

4. Disaster Recovery Facilities
Specific guidelines for the ICT DR services provision to provide a secure physical operating environment to facilitate recovery:

5. Recovery Services Capability
Specific guidelines for the ICT DR services provision to develop service delivery capability supporting recovery. Besides qualified staffing, other minimum capabilities include capacity to support simultaneous invocation of disasters:

6. Guidelines for Selection of Recovery Sites
Provides guidelines on the factors to consider when selecting recovery sites, such as:

7. Additional Guidelines for the Professional ICT DR Service Provider
Additional guidelines for professional service providers in the provision of ICT DR services."
lunes, 10 de abril de 2006 0 comentarios

Norma BS7799-3 "Guías para la gestión del riesgo en seguridad de la información"

Bajo el British Standar Institute ha sido publicada la norma BS 7799-3:2006 "Information security management systems. Guidelines for information security risk management".
Identificar, evaluar, tratar y gestionar los riesgos en seguridad de la información son procesos clave si desea garantizar la seguridad de los procesos de negocio.

Esta actividad de la gestión del riesgo aparece en la norma ISO/IEC 27001:2005, pero no existe todavía un criterio consensuado sobre cómo y de qué manera desarrollar esta actividad.
La nueva norma 7799-3:2006 proporciona esta guía y cubre aspectos como:
- Análisis del riesgo
- Gestión del riesgo
- Toma de decisiones
- Revisión del análisis y gestión del riesgo.
- Monitorización del perfil de riesgo
- Gestión del riesgo en el contexto de la gestión corporativa
- Cumplimiento con otros estandares y regulaciones basados en riesgo

BS 7799-3:2006 proporciona una guia para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un sistema de gestión de la seguridad de la información (SGSI).
Estas tareas incluyen la identificación y evaluación del riesgo, implementar controles para reducirlos, monitorización y revisión de los riesgos, y mantenimiento y mejora continua del sistema basado en el control del riesgo.

La información sobre este estandar puede consultarse en la BSI en la dirección BS 7799-3:2006
miércoles, 5 de abril de 2006 0 comentarios

Numero 6 de (In)secure Magazine

Indice:
Best practices in enterprise database protection
Quantifying the cost of spyware to the enterprise
Security for websites - breaking sessions to hack into a machine
How to win friends and influence people with IT security certifications
The size of security: the evolution and history of OSSTMM operational security metrics
Interview with Kenny Paterson, Professor of Information Security at Royal Holloway, University of London
PHP and SQL security today
Apache security: Denial of Service attacks
War-driving in Germany - CeBIT 2006
 
;