Nokia N900 con Linux

Definitivamente, Nokia quiere desvelar todas las sorpresas antes de la Nokia World, y tras el Booklet 3G, solo nos quedaban dudas sobre el Nokia N97 Mini y el Nokia N900. Este último acaba de ver la luz oficialmente y, como en el caso del ultraportátil, representa un nuevo campo de trabajo para el fabricante finlandés.

Si cogemos una de las tabletas de Nokia, como el N810, y lo mezclamos con uno de sus teléfonos de gama alta, ¿qué nos queda? Efectivamente, el Nokia N900, que combina prestaciones de ambos dispositivos, pues es la primera de sus tabletas que incorpora conectividad 3G.

Diga no a la piratería: Use software legal

La lucha por acabar con la piratería no es nada nuevo, y en ese empeño hay una gran cantidad de compañías que están poniendo todo su esfuerzo.

Un ejemplo de esto lo tenemos en el operativo internacional que se realizó antes del cierre de esta edición, donde, de forma conjunta, participaron Microsoft, la INTERPOL, los departamentos de policía y justicia de 14 países de Latinoamérica (entre los que se incluyen Argentina, Brasil, Chile, Colombia, Ecuador, El Salvador, Guatemala, Honduras, México, Panamá, Paraguay, Perú, República Dominicana y Uruguay), además dos países de Europa (España y Portugal) y un grupo de empresas del sector.

En esta investigación, que duró varios meses, se incautaron más de 162.000 copias piratas en Iberoamérica, valoradas en US$18,2 millones.

Durante esta redada se encontraron versiones falsas de los productos más populares de Microsoft, tales como Windows Vista y Microsoft Office.

¿Por qué es tan importante la educación que reciba el personal con relación a este tema?

Cuando un ejecutivo de una compañía o un simple usuario compra un software de computación espera recibir un programa de calidad que no contenga código malicioso; sin embargo, el software pirata trae aparejado todo lo contrario. Para luchar contra ello, desde 2006 Microsoft ha intensificado su Iniciativa de Software Original, a través de un mayor enfoque en la educación, la ingeniería y la acción legal. Para más información sobre ello visite el sitio www.microsoft.com/latam/genuino.

Esta Iniciativa de Software Original permite que los usuarios puedan validar a distancia su programa para verificar de esa forma que estén utilizando el software original.

Cifras nacionales
Por otra parte, el estudio realizado anualmente por la Business Software Alliance (BSA) e IDC Global Networks para medir los efectos que tiene la piratería a nivel mundial, indica que México reportó una tasa del 61% sobre el uso de software pirata al cierre del 2007, cifra que estipulan crecerá a un ritmo acelerado si no se cambian las prácticas nacionales en el mercado de usuario final.

En términos económicos, el comercio ilegal causó una pérdida económica de $836 millones de dólares, cifra que nos ubica en el lugar número 13 a nivel mundial, donde se encuentran países como los Estados Unidos ($8,040), China ($6,664), Canadá ($1,071) y España ($903).

Kiyoshi Tsuru, director general de la BSA, expresó que nos enfrentamos al poder de una delincuencia organizada cada vez más compleja: está sofisticando sus técnicas de incursión en el mercado; tiene una enorme capacidad de mudar de una industria a otra y ahora está penetrando al mercado de Internet.

Otro dato importante puntualizado por el directivo, es que los retos para México aún son grandes ya que la proporción del mercado ilegal está ganando participación; al respecto señaló que del año 2006 al 2007 las pérdidas económicas en el mercado de software se incrementaron en un 11%.
Juan Pérez Hernández.
Seguridad en áreas computacionales.
Fuente:http://www.pcworld.com.mx/Articulos/1411.htm#

Apple libera (otro) parche de seguridad para Mac OS X

Menos de una semana después de reparar 19 vulnerabilidades de seguridad en Mac OS X , Apple entra nuevamente en la rutina de parches.
La compañía liberó la Actualización de Seguridad 2009-004 2009-004 para reparar una solitaria vulnerabilidad de BIND que podría llevar a un ataque de denegación de servicio. Apple advierte:
Un punto lógico en el manejo de los mensajes de actualización dinámicos de DNS podría disparar una aseveración. Mediante el envio de un mensaje elaborado maliciosamente al servidor DNS BIND, un atacante remoto podría interrumpir el servicio BIND. El problema afecta a servidores que son los maestros para una o más zonas, din importar que acepten actualizaciones. BIND está incluido en Mac OS X y Mac OS X Server pero por defecto no está habilitado.
[ Vea: Apple advierte de ataque a Mac mediante archivos de imágenes ]
El parche soluciona el problema rechazando de forma apropiada los mensajes con registros del tipo 'ANY' cuando una aseveración previa hubiera sido levantada.
Apenas ayer, Apple liberó una nueva versión de su navegador Safari para reparar seis problemas de seguridad documentados.

Juan Pérez Hernández.
Seguridad en áreas computacionales.
Fuente: http://blog.segu-info.com.ar/2009/08/apple-libera-otro-parche-de-seguridad.html

Herramientas de seguridad gratuitas para Windows que todo administrador debe tener

Soy un gran partidario de usar software para reducir un poco el esfuerzo diario de administrar Windows - especialmente si las herramientas son gratuitas.

Automatizar tareas o al menos quitarles un poco del esfuerzo manual le permitirá enfocarse en otros asuntos de seguridad de su entorno Windows, como por ejemplo ponerse al día con los parches que Microsoft sigue liberando por estos días. Las herramientas gratuitas incluso le permiten hacer cosas que de otra forma no podría justificar. A su vez, uno termina con una red más segura y todos ganan. Ahora, quienes verdaderamente los saben o les preocupa es un asunto distinto ...

Debido a que la seguridad y los presupuestos limitados son algo en boga por estos días, aquí hay un conjunto de herramientas de seguridad para Windows gratuitas para revisar. Si bien pensar que hay vida más allá de las herramientas de Sysinternals es algo inimaginable, de hecho hay otras herramientas disponibles que pueden hacer su vida mucho más simple, y como con Sysinternals, no le costarán ni un centavo.

Herramientas de respaldo, recuperación y destrucción de información.

• Cobian Backup – programa de respaldo para aquellos que lo tuvieron con Windows Backup y otras herramientas alternativas comerciales.
• Eraser – borrado seguro para cuando el tiempo empieza a acabarse para esos antiguos discos.
• KillDisk – una opción alternativa para un borrado seguro.
• Recuva (Piriform) – recuperación de datos para cuando borre accidentalmente su carpetas públicas de Exchange Server.

Herramientas de protección de malware.

• ClamWin – un escáner de virus para que pueda (finalmente) tener alguna protección en sus servidores Windows.

Herramientas de Monitoreo, informes y búsqueda.

• EventTracker Pulse (Prism Microsystems) – motor de búsquedas para información de registros para que pueda llegar a comprender lo que está sucediendo en sus sistemas Windows y otros dispositivos.
• OSSIM – administración de seguridad de la información que puede usar para detectar anomalías de seguridad, correlación de eventos y más (funciona mediante VMware ).
• Paglo Crawler – motor de búsquedas, monitoreo y presentacion de informes para que pueda comprender sus activos de TI tales equipos de red y aplicaciones.

Herramientas de escaneo y análisis.

• Angry IP Scanner – escáner de red que puede usar para monitorear sus equipos y determinar cuando un equipo intruso se conecte a la red y los usuarios estén haciendo cosas que no deberían.
• WireShark – el analizador de red que todos aman – a pesar que muchos aún no han oído hablar de él – y que puede ser usado para solucionar problemas de red y aplicaciones.

Herramientas de pruebas.

• ReactOS – un SO binario-compatible a Windows basado en XP y Server 2003 que puede ser usado para probar aplicaciones Windows, herramientas de seguridad y otros.
• VirtualBox – programa de maquina virtual que puede usar para probar nuevas versiones de Windows, parches, herramientas de seguridad, y más antes de ponerlas en producción.

Si quiere dar un vistazo a más herramientas de seguridad gratuitas para Windows, asegúrese de mantenerse en contacto con SourceForge. Es un repositorio central de todo lo que es open source. Tiene más de 230.000 proyectos open source y miles y miles de descargas cada día.

¿Quién dijo que lo open source no es adecuado?

Juan Pérez Hernández.
Seguridad en áreas computacionales.
Fuente: http://blog.segu-info.com.ar/2009/08/herramientas-de-seguridad-gratuitas.html

Ordenan a Microsoft detener la venta de Word

Habiendo llegado a la conclusión de que Microsoft había violado una patente sobre el uso de XML personalizado propiedad de i4i de Toronto, un juez de Texas ordenó a Microsoft que deje de vender cualquier producto relacionado con Word que use codificación XML en cualquier modo -que son casi todos ellos en este momento- dentro de 60 días. Microsoft planea apelar la orden y los $ 290 millones en daños y perjuicios, y probablemente no perderá la posibilidad de vender su producto. Sin embargo, no llega en un buen momento, ya que Microsoft tiene previsto anunciar la disponibilidad de Office en teléfonos Nokia.
Actualización: El blog Todo sobre Microsoft explica con más detalle el tema de XML personalizado en el centro de la decisión del tribunal.

Colaborador: Enrique Pérez
Fuente: Lifehacker

Falla crítica en Windows 7 ¿demorará el lanzamiento? probablemente no.

Comentarios de los últimos días en blogs y sitios de noticias respecto de una falla encontrada en Windows 7 llegaron en algunos casos hasta cierto grado de histeria al afirmar que podría generar el retraso de la salida de Windows 7.

Evidentemente tras la búsqueda del sensacionalismo algunos medios arriesgan conclusiones poco profesionales con el, aparente, único fin de llamar la atención. Y algunos medios con poca capacidad de análisis reproducen esas supuestas malas noticias sin fundamento.La falla hallada en Windows 7 se presenta en la versión RTM (la anterior a la de producción) con la ejecución del comando chkdsk /r en un disco secundario (en el disco primario no es posible pues al contener la partición de arranque no puede ser accedido en forma exclusiva) que tenga el sistema de archivos del tipo NTFS (en formato FAT32 no hay falla).

Cuando ejecuta en un disco secundario, en la etapa 4 el proceso empieza a consumir una gran cantidad de memoria y, en algunos casos, puede hacer caer el sistema.El alto uso de memoria, según explica Steven Sinofsky, el jefe de Windows, parece ser resultado del diseño orientado a resolver en memoria todo el proceso para completarlo más rápidamente. Ahora Sinofsky explica que estan haciendo pruebas y trabajando instensamente para resolverlo.Tambien Ryan Price en su blog www.bluescreenofdeath.org un lector comenta que después de escribirse con Steven han llegado a la conclusión que no es una falla con chkdsk /r sino con algun controlador del chipset. Luego de actualizar los drivers de la placa madre de su sistema la falla no sucedió más. El proceso sigue usando mucha memoria, pero ya no hay pantalla azul.Lo que queda claro es que es un error que raramente ocurriría al usuario promedio ya que es un comando poco usado, raramente necesario y que sucede en sistemas con más de un disco. Por todo esto es dificil suponer que podría ser un motivo de demora en el lanzamiento de Windows 7, el sucesor de Windows Vista.

Juan Pérez Hernández.

Seguridad en áreas computacionales.

Fuente:http://blog.segu-info.com.ar/2009/08/falla-critica-en-windows-7-demorara-el.html

Abre IBM centro de software

IBM abrió el primer laboratorio de desarrollo de aplicaciones en América Latina, el Rational Innovation Center, en Guadalajara, Jalisco.

Este centro permitirá a clientes, academias e instituciones gubernamentales, conocer cómo pueden mejorar sus proceso de desarrollo de software mediante herramientas de alta tecnología, es decir, que tendrán la posibilidad de, antes de adquirir un producto, verlo en funcionamiento, conocer las tendencias y actualizaciones tecnológicas, para estar seguro que funcionará en su entorno y con ello tener obtener un ahorro de hasta 60% y 19% más de probabilidades de cumplir sus objetivos.

El Rational Innovation Center se une a los más de 100 que ya tiene la empresa en países como Estados Unidos, Canadá, Inglaterra, Italia y China, donde han conseguido innovaciones como un tren de potencia híbrida para ahorrar hasta un 70% en combustible, un programa de diagnóstico por imágenes que hace llegar las radiografías y resonancias magnéticas a las laptops de lso médicos, y un corazón inteligente que hace posible monitorear y diagnosticar en forma remota al enfermo.

Desde Guadalajara, México, se atenderá a todos los países de habla hispana de Latinoamérica y el Caribe. Los interesados pueden ir directamente al centro o acceder a una presentación vía remota donde un equipo de especialistas evaluará y atenderá las necesidades de los clientes para desarrollar estrategias de generación de demanda.

Colaborador: Enrique Pérez
Fuente: El Universal

Phishing, un misterio para la mayoría de los usuarios

Ante dos sites extremadamente parecidos los usuarios no parece ser capaces de identificar el que está afectado por phishing.
Un reciente estudio realizado por VeriSign ha puesto de manifiesto que el phishing sigue siendo un misterio para la mayoría de los usuarios de Internet. El informe es parte de una investigación más amplia sobre las claves que utiliza la gente para detectar sites potencialmente peligrosos. Para ello la compañía ha creado sites iguales, uno de ellos con phishig y ha pedido a los visitantes que identifique cuál de los dos es el que lo contiene.
La identificación más común es el bajo nivel de ortografía del site de phishing, sin embargo cerca del 88% de los que tomaron parte en la prueba fracasaron a la hora de identificar los errores tipográficos que podrían haber identificado a la página web como falsa.
La falta del símbolo del candado no se percibió por el 57% de los encuestados, mientras que un 34% fracasó en identificar el site de phishing en el que se había alterado el nombre del dominio. Ante la solicitud de información de la cuenta, como los detalles de acceso al banco, un 23% cayeron en el engaño.

Juan Pérez Hernández.
Seguridad en áreas computacionales.
Fuente: http://www.itespresso.es/es/vnunet/news/2009/06/12/phishing__un_misterio_para_la_mayoria_de_los_usuarios

Google lanzará sistema operativo

Han pasado nueve meses desde el lanzamiento del navegador Google Chrome. Actualmente, más de 30 millones de personas lo utilizan regularmente. Google Chrome se diseñó para las personas que viven en la red - la búsqueda de información, consultar el correo electrónico, ponerse al día en las noticias, compras o simplemente estar en contacto con los amigos. Sin embargo, los sistemas operativos en que se ejecutan en los navegadores fueron diseñados en una era donde no había Internet.

Google Chrome es un sistema operativo de código abierto, ligero, que inicialmente estará destinado a netbooks. A finales de este año se publicará su código fuente-, y netbooks ejecutando Google Chrome OS estarán disponibles para los consumidores en el segundo semestre de 2010.

Velocidad, simplicidad y seguridad son los aspectos clave de Google Chrome OS. El sistema operativo se está diseñando para ser rápido y ligero, para arrancar y conseguir entrar en la web en unos segundos. La interfaz de usuario es mínima para permanecer fuera de su camino, ya que la mayor parte de la experiencia del usuario tiene lugar en la web. Y como se hizo para el navegador Google Chrome, se está volviendo a lo básico, con un completo rediseño de la arquitectura subyacente de seguridad del sistema operativo de modo que los usuarios no tienen que hacer frente a virus, malware y las actualizaciones de seguridad.

Google cromo OS funcionará en tanto x86, así como los chips ARM y se está trabajando con varios fabricantes de equipos originales para presentar una serie de netbooks al mercado el próximo año. La arquitectura de software es simple - Google Chrome en funcionamiento es un nuevo sistema de ventanas montado sobre un núcleo de Linux. Para los desarrolladores de aplicaciones, la web es la plataforma. Todas las aplicaciones basadas en web trabajarán automáticamente y nuevas aplicaciones se pueden escribir usando sus tecnologías web favoritas. Y, por supuesto, estas aplicaciones se ejecutarán no sólo en Google OS Chrome, también en cualquier navegador basado en estándares en Windows, Mac y Linux con lo que los desarrolladores tendrán la mayor base de usuarios de cualquier plataforma.

Colaborador: Enrique Pérez

Fuente: Official Google Blog

Cómo escribir una Política de Seguridad de la Información

Una Política de Seguridad de la Información es la piedra angular del Programa de Seguridad de la Información de todo CSO (Chief Security Officer). Debe reflejar los objetivos de seguridad de la compañía y establecer la estrategia de gestión acordada para asegurar la información. En este artículo explicamos cómo dar el primer paso, qué debe cubrir y y cómo elaborar una política de seguridad de la información efectiva.

Para que la Política de Seguridad de la Información sea útil y permita ejecutar el resto del Programa de Seguridad de la Información debe ser aceptada formalmente por la dirección ejecutiva de la empresa. Esto significa que para elaborar un documento de política de seguridad la organización debe tener unos objetivos de seguridad bien definidos y una estrategia de gestión de seguridad de la información previamente aceptada. Si se abre un debate sobre los contenidos de la política, se extenderá a cada intento de ponerla en práctica, con la consecuencia de que el propio Programa de Seguridad de la Información quedará invalidado.

Políticas "empaquetadas"

Hay un montón de productos de “política de seguridad empaquetada” en el mercado, pero pocos de ellos obtendrán el placet de la dirección ejecutiva sin que tengan que ser detallados paso a paso por un profesional de la seguridad. No es probable que esto ocurra debido a la falta de tiempo inherente a la directiva empresarial. Aunque fuera posible que los directivos aceptasen unas políticas “adquiridas”, tampoco es la opción correcta para conseguir que los gestores de la empresa piensen en la seguridad. En vez de ello, el primer paso para elaborar una política de seguridad es averiguar cómo ve la seguridad la dirección de la empresa. Como la política de seguridad es, por definición, un conjunto de mandatos de gestión respecto a la seguridad de la información, estos mandatos proporcionan la guía de trabajo del profesional de seguridad. Si el profesional de seguridad solicita a la directiva que firme dichos mandatos, probablemente los pasarán por alto.

Un profesional de seguridad cuyo trabajo es elaborar la política de seguridad debe asumir por tanto el rol de absorber y escribir lo que le transmite la dirección ejecutiva de la empresa. Debe saber escuchar y tener en cuenta los contenidos de sus conversaciones sin importar la disparidad de conocimientos de cada ejecutivo. También debe trasladarlo a documentos que contengan de forma fidedigna lo que le transmiten sin embellecerlo ni añadir anotaciones. Debe ser capaz de detectar los asuntos que preocupan a través de entrevistas a los directivos y preparar una declaración positiva sobre cómo quiere la empresa proteger su información de forma global. El tiempo y el esfuerzo dedicados a obtener el consenso de los ejecutivos sobre la política merecerá la pena porque beneficiará al proceso de implantación de dicha política.

Algunas preguntas que debe hacer el CSO a los directivos

• ¿Cómo describiría los diferentes tipos de información con los que trabaja?
• ¿En qué tipo de informaciones suele apoyarse para tomar decisiones?
• ¿Hay algún tipo de información que requiera mayor privacidad que otros?

A partir de estas preguntas se puede desarrollar un sistema de clasificación de la información (por ejemplo información de clientes, financiera, de marketing, etc.) y se pueden describir procedimientos apropiados de gestión para cada uno a nivel de proceso de negocio. Por cierto, si se incluyen textos del tipo “se pueden admitir excepciones a esta política contactando al ejecutivo a cargo de…” en la política o en el programa donde está incluida, el documento pierde totalmente su sentido. En lugar de representar el compromiso de la directiva con el Programa de Seguridad de la Información transmite la sensación de que la política no es factible. El CSO debe preguntarse si se permitirían excepciones parecidas, por ejemplo, en la política de Recursos Humanos o Contabilidad.

Por ejemplo, supongamos que hay un debate sobre si los usuarios deberían tener acceso a medios extraíbles como dispositivos USB. El CSO puede creer que tal acceso no es necesario, mientras que un directivo de tecnología puede considerar que los departamentos responsables de manipulación de datos deberían tener la posibilidad de transportar datos en cualquier tipo de soporte. A nivel de política, la opción de consenso podría dar lugar a una frase del tipo: “el acceso a dispositivos extraíbles deberá ser aprobado por el responsable correspondiente”. Los detalles de los procesos de aprobación utilizados por dicho ejecutivo podrían dar lugar a debate, y continuar las discusiones sobre el asunto. La declaración correcta debería prohibir el uso de esos dispositivos a “cualquiera que no tenga la conformidad de un ejecutivo responsable que apruebe el proceso para utilizarlos”.

Políticas distribuidas

En organizaciones muy grandes los detalles sobre las alternativas de conformidad con la política pueden diferir enormemente. En estos casos puede ser apropiado segregar las políticas en función de la audiencia objetiva. Entonces la política empresarial se convierte en una política global que incluye sólo los mandatos de seguridad mínimos y comunes a todos. Los distintos departamentos pueden publicar sus propias políticas. Estas políticas distribuidas son más efectivas cuando la audiencia es un subconjunto bien definido de la organización. En este caso no se necesita el mismo nivel de compromiso por parte de la alta directiva para poder actualizar estos documentos.Por ejemplo, la política de operaciones en Tecnologías de la Información podría requerir solamente la aprobación del director de ese departamento, siempre y cuando esa política sea consistente con la política global de seguridad y sólo aumente el compromiso de los directivos con la estrategia de seguridad general. Presumiblemente debería citar a dichos responsables como “sólo los administradores autorizados podrán disponer de acceso para implementar cambios de configuración en el sistema operativo” y “sólo se tendrá acceso a las contraseñas de los ID genéricos en el caso de cambios autorizados en los procesos de control”, por ejemplo. Otros tipos de sub-políticas pueden implicar a personas de diferentes departamentos dedicados a alguna actividad inusual sujeta a controles de seguridad similares, como procesamiento de información de outsourcing o encriptación de comunicaciones por correo electrónico.

Documentos a incluir en el Programa de Seguridad de la Información

• Roles y responsabilidades: descripción de las responsabilidades de seguridad para otros departamentos. Por ejemplo, se le puede dar al departamento de desarrollo la tarea de evaluar las vulnerabilidades de seguridad antes de desplegar nuevas aplicaciones; o al departamento de recursos humanos la labor de mantener listas actualizadas de empleados y suministradores.
• Estándares tecnológicos: descripción de los parámetros de configuración técnica y valores asociados que se hayan determinado para asegurar que los directivos pueden controlar el acceso a los activos de información electrónica.
• Procesos: flujos de trabajo que muestren cómo se combinan las funciones de seguridad desarrolladas por los diferentes departamentos para asegurar la gestión segura de la información.
• Procedimientos: instrucciones paso a paso para que el personal pueda realizar tareas rutinarias de seguridad sin necesidad de formación previa, y asegurar así que los mecanismos preventivos, de detección y/o respuesta funcionan como está previsto.
• Directrices: consejos sobre la forma más fácil de cumplir las políticas de seguridad, generalmente redactados para usuarios sin conocimientos técnicos que tienen distintas opciones de gestionar la información de forma segura.

Por otro lado, el hecho de que haya políticas específicas que se apliquen a todos los usuarios no debería provocar que se elaboren nuevas políticas, pero sí deberían añadirse a la política global como “secciones”. No es conveniente tener múltiples políticas que contengan mandatos para toda la empresa porque cuantas más políticas haya más complicado es conseguir que todo el mundo tenga un conocimiento adecuado del nivel de seguridad correcto. Ya es suficientemente difícil establecer programas de información sobre las políticas de seguridad que lleguen a todos los destinatarios sin tener que aclarar por qué se crearon distintos documentos de política de seguridad en lugar de uno solo. Por ejemplo, que se impongan nuevas restricciones al acceso a Internet no implica que se cree un nuevo documento de política de seguridad. Otro inconveniente de la creación de sub-políticas es que no deben repetir los contenidos de la política global, y al mismo tiempo deben ser consecuentes con ella. Debería estar prohibida la repetición, ya que permitiría que los diferentes documentos estuvieran desincronizados según van evolucionando. En lugar de eso, los sub-documentos deben hacer referencia al documento global y estar enlazados a él de manera que le quede claro al lector.

Siempre que haya una directiva de seguridad de la información que pueda ser interpretada de diferentes formas debería ser cuestionada por el CSO. Las políticas deben ser órdenes. Las estrategias de implementación alternativas pueden ser citadas como guías, procedimientos, procesos o responsabilidades, pero no pueden ser políticas. Esto permite que se pueda innovar y disfrutar de cierta flexibilidad en el departamento al tiempo que se mantienen unos firmes objetivos de seguridad a nivel de política.

Esto no significa que haya que eliminar los objetivos de protección de la información del Programa de Seguridad de la Información. Se trata de que no toda la estrategia de seguridad se puede documentar a nivel de política de obligado cumplimiento. Según el Programa de Seguridad de la Información vaya madurando se puede ir actualizando la política, pero no necesariamente para ganar mejoras incrementales en seguridad. Se puede mejorar el consenso usando otros documentos dentro del Programa de Seguridad de la Información.

Qué debe contener una Política de Seguridad

La pregunta es ¿cuál es la información mínima necesaria que se debe incluir en una Política de Seguridad? Debe ser suficiente para comunicar a los directivos los objetivos y la dirección en la que debe ir la seguridad. Debe incluir lo siguiente:

1. Alcance: debe incluir toda la información, sistemas, instalaciones, programas, datos, redes y usuarios de tecnología de la empresa, sin excepción.
2. Clasificación de la información: debe proporcionar definiciones específicas para cada tipo de contenido, y no simplemente adjetivos como “confidencial” o “restringida”.
3. Objetivos para el manejo seguro de la información en cada categoría (por ejemplo, se deben combinar las obligaciones contractuales, regulatorias y legales en uno.
4. Posicionamiento de la política de seguridad en el contexto de las demás directivas de gestión y otros documentos suplementarios (es decir, si ha sido acordada a nivel ejecutivo, todos los demás documentos de gestión de información deben ser consecuentes con ella).
5. Referencias a los documentos de apoyo (los de roles y responsabilidades, procesos, tecnología, etc.).
6. Instrucciones específicas sobre las obligaciones de seguridad de toda la empresa a nivel general (por ejemplo, todo acceso a cualquier sistema informático requiere la verificación de identidad y la autenticación, no se pueden compartir mecanismos de autenticación, etc.)
7. Designación específica de las responsabilidades establecidas (por ejemplo: el departamento de tecnología es el único proveedor de líneas de telecomunicación autorizado).
8. Consecuencias del incumplimiento (desde sanciones hasta el cese o despido).

Esta lista será suficiente como política de seguridad de la información básica para una empresa. Aunque los puntos 6 y 7 pueden contener una gran cantidad de variables y detalles relativos a las medidas de seguridad, es aconsejable no extenderlos demasiado para asegurar su legibilidad, y apoyarse en sub-políticas o documentos de apoyo para incluir todos los requisitos. De nuevo, es más importante tener una conformidad completa a nivel de política que incluir montones de detalles.

Hay que tener en cuenta que el propio proceso de producción de una política de seguridad debe estar fuera de la política. También se debe preservar cuidadosamente la documentación relativa a aprobaciones, actualizaciones y control de versiones de la política de seguridad, y tenerlo disponible por si es necesaria una auditoría del proceso.

Juan Pérez Hernández.

Seguridad en áreas computacionales.

Fuente:http://blog.segu-info.com.ar/2009/07/como-escribir-una-politica-de-seguridad.html

Análisis Forense

Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos, unos procedimientos y métodos de análisis que nos permitan identificar, recuperar, reconstruir y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas necesidades es la Ciencia Forense, la cual nos aporta las técnicas y principios necesarios para realizar la investigación.

En el ámbito de los sistemas informáticos, a la Ciencia Forense se le llama Análisis Forense Digital. Esta disciplina es relativamente nueva y se aplica tanto para la investigación de delitos "tradicionales" (homicidios, fraude financiero, narcotráfico...), como para los propiamente relacionados con las tecnologías de la información y las comunicaciones, entre los que destacan piratería de software y comunicaciones, intrusiones, "hacking", spam, phishing... . Dicho de otra manera, se define el Análisis Forense Digital como un conjunto de principios y técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y presentación de evidencias y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial.

Un incidente de seguridad informática puede considerarse como un violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos, como por ejemplo: Incidentes de denegación de servicios, de código malicioso, de acceso no autorizado, por uso inapropiado, incidente múltiple.

Los incidentes en la realidad pueden enmarcarse en varias categorías de las anteriormente mencionadas, por lo que una buena forma de identificarlos puede ser el mecanismo de transmisión empleado.En el análisis forense digital pueden diferenciarse las siguientes fases:

1. Identificación del incidente: descubrir las señales de ataque.
2. Recopilación de evidencias: registros y contenidos de la caché, contenidos de la memoria, estado de las conexiones de red, tablas de rutas, estado de los procesos en ejecución, contenido de archivos y discos duros.
3. Preservación de la evidencia: realizar copias, métodos adecuados para el almacenamiento y etiquetado de las evidencias.
4. Análisis de la evidencia: acondicionar un entorno de trabajo adecuado, reconstrucción de la secuencia temporal del ataque, determinación de cómo se realizó el ataque, identificación del autor del incidente y evaluación del impacto causado al sistema.
5. Documentación y presentación de los resultados: utilización de formularios de registro de incidente, informe técnico e informe ejecución.

Una vez que hemos pasado la primera fase del análisis y estamos seguros de que nuestro sistema informático ha sido atacado, debemos decidir qué es más importante para nosotros: tener nuevamente operativo nuestro sistema o realizar una investigación forense detallada.

Los administradores lo primero que suelen hacer es devolver a la normalidad el sistema, aunque así puedan perder casi todas las evidencias del ataque, y ello impida llevar a cabo acciones legales posteriores si fuera necesario. En sistemas SCADA, una vez identificado el incidente la única opción que tenemos es la de restablecer el sistema, ya que sería impensable dejar de suministrar gas, agua.... y comenzar con un análisis forense, ya que son sistemas críticos. Por ello, una posible solución sería registrar todo tipo de evento que pueda suceder en cualquier dispositivo de nuestro sistema. En las redes SCADA hay dispositivos que son capaces de registrar eventos, sin embargo, existen otros que no lo son (PLC, RTU...), así una buena solución sería establecer soluciones de software que puedan registrar dichos eventos de estos dispositivos SCADA. Los PLC y RTU´s suelen utilizar protocolos concretos (ModbusTCP, DNP3, IEC104, ...) que tendrán que ser interpretados por este software, de tal modo que permita determinar que información es la que se desea registrar.

En ocasiones esto no es suficiente y es necesario además incluir una ultima interpretación de lo que está sucediendo en la red para crear el registro necesario de estos eventos, como por ejemplo, se está actualizando un firmware en un dispositivo y esta actualización NO se ha completado con éxito, todo ello con el fin de disponer de toda la información suficiente para realizar un análisis forense más completo.

Juan Pérez Hernández.
Seguridad en áreas computacionales.
Fuente:http://blog.segu-info.com.ar/2009/07/analisis-forense.html

La versión 3.5 de FireFox ya está disponible

Firefox 3.5 está disponible para su descarga, tras meses de pruebas. La última versión del navegador web añade un montón de nuevas características y corrección de errores. Probablemente el más importante es que se siente más rápido, gracias a un nuevo motor de Javascript y la actualización del motor de renderizado.

Pero también hay algunas nuevas características, incluidas un modo de navegación que te permite navegar por Internet sin guardar los datos en la computadora. Porque seguramente usted no quiere que su cónyuge se entere que está comprando para su cumpleaños.

También existe apoyo para "lagrimeo de pestañas", que le permite arrastrar y soltar pestañas entre ventanas del navegador. O usted puede arrastrar una pestaña de una ventana del navegador para crear una nueva ventana. Firefox 3.5 también soporta vídeo en HTML que le permite ver algunos vídeos incrustados en páginas web sin ningún tipo de plug-ins.

Colaborador: Enrique Pérez
Fuente: Download Squad

¿Qué ha sido de los virus?

Estos programas maliciosos han evolucionado para sacar provecho económico del usuario y han mejorado su camuflaje
Conficker ha sido el postrer virus mediático; el último cuya alarma ha pasado a los medios de comunicación. Los avisos de precaución se extendieron por su presunta activación el pasado 1 de abril. Sin embargo, las alarmas son cada vez más escasas y ya apenas se oyen noticias sobre letales programas que literalmente desintegran el sistema operativo del ordenador al ejecutarse. ¿Por qué sucede esto? ¿Se ha reducido el número de programas maliciosos? Las amenazas informáticas han cambiado en los últimos años. De virus convencionales y altamente destructivos se ha pasado a gusanos y troyanos, que se intentan propagar al máximo número de ordenadores mientras se mantienen silentes y parasitarios. Los programas maliciosos han evolucionado. Antes, por lo general, necesitaban que el usuario los activara. Recurrían al ingenio, a lo que algunos denominan "ingeniería social", para que el usuario picara. Una vez que se ejecutaba el malware, el virus podía seguir las rutinas que le hubiera marcado su programador.Un caso extremo de este ingenio aplicado al timo lo constituye el "phishing". Se trata de sitios web o mensajes de correo electrónico que se remiten simulando y suplantando (incluso con sus logos y direcciones de correo electrónico) a una entidad con que el usuario tenga trato comercial. Así, como si fuera la lotería, los timadores buscan la coincidencia. Por ejemplo, que un cliente de un banco reciba un presunto correo de su entidad conminándole a entrar en su cuenta por algún peregrino motivo y entre. Ante esta situación, lo más recomendable consiste en no abrir nunca un correo de una entidad bancaria y mucho menos pinchar un enlace dentro de dichos correos.Las entidades sólo los mandan en muy pocos casos, siempre con protocolos de seguridad especiales y nunca para ofrecer servicios ni avisos. Pueden mandar correos para avisar de que alguien ha ingresado dinero en cuenta y poco más. Por eso, resulta preferible acceder desde el navegador a la página personal del usuario en el banco y, una vez dentro, comprobar si ha habido alguna comunicación.
Sistemas operativos más seguros
Las alertas mediáticas por virus han disminuido en los últimos tiempos, un hecho que puede incitar a pensar que la navegación es más segura. Según Chema Alonso, consultor de seguridad en la empresa Informatica64, las últimas versiones de los sistemas operativos han mejorado las medidas de protección de las anteriores. Pone el ejemplo del Windows XP, que se empezó a diseñar en 1997, con "las amenazas de entonces" en mente, que "no tienen nada que ver con las de hoy en día". Actualmente, los sistemas operativos son más robustos y cuentan con la precaución de crear diferentes tipos de sesiones, una para el administrador que puede modificar todo el equipo y otras para los usuarios normales, que utilizan los programas pero tienen límites para instalar nuevos. Así se evita en teoría activar un programa malicioso que necesite de la intervención del usuario.
Windows Vista o Linux exigen que se introduzcan el nombre de usuario y la contraseña cuando se va a realizar un cambio importante en la configuración del ordenador, como instalar un programa. Sin esos datos, no se efectúa ninguna acción y el PC se queda a salvo en la práctica. Ante esta protección, sólo podría ser efectivo un ataque basado en la ingeniería social que engañara al usuario para que facilitara sus datos.
Punto de inflexión
Alonso señala que hace poco más de un lustro se produjo un punto de inflexión, con la extensión de gusanos como Sasser o Blaster. Se trataba de programas diseñados para aprovechar los fallos de seguridad de Windows XP y propagarse a gran velocidad. Las únicas medidas de prevención consistían en instalar los parches de Microsoft que solventaban los respectivos problemas y en utilizar un cortafuegos, capaz de detener al menos los intentos de conexión que se produjeran desde el ordenador.
En esa época se comprobó que cualquier fallo de seguridad en un programa o en un sistema operativo podía propiciar infecciones masivas con Internet de por medio. Sin embargo, a pesar de los esfuerzos por mejorar la seguridad en las últimas versiones de los sistemas operativos, los virus siguen amenazando. ¿Qué se puede hacer para evitarlos?
Sitios donde encontrar alertas
Diversos sitios se dedican a avisar a los usuarios de los nuevos peligros que aparecen en Internet, pero siempre van por detrás de las amenazas, igual que los creadores de las defensas específicas para ellos como las vacunas antivirus. En España destaca el sitio Centro de Alerta Temprana sobre Virus y Seguridad Informática, Alerta-Antivirus.es, promovido por el Instituto Nacional de Tecnologías de la Comunicación, un centro dependiente del Ministerio de Industria. En él se pueden encontrar los virus más populares en los últimos días, las nuevas apariciones de malware y los últimos fallos de seguridad descubiertos. Otro sitio donde buscar información es Viruslist, que cubre toda la información referida al software malicioso y está traducido al español. Los sitios de las empresas que diseñan los antivirus constituyen otro buen lugar donde informarse acerca de los últimos virus peligrosos.
La prevención, clave para la seguridad
Los expertos en seguridad informática coinciden en que la prevención es fundamental para protegerse del malware. Por ejemplo, resulta básico activar la actualización automática del sistema operativo para prevenir los olvidos habituales cuando se deja esta opción en manual. Así, el ordenador siempre tendrá los últimos parches lanzados para el sistema operativo y se encontrará más preparado para resistir las amenazas.
Además, conviene activar o instalar un cortafuegos, que evita la transmisión de datos desde el ordenador al exterior y la intrusión de otros dentro del equipo. Se debe tener también el antivirus actualizado. En estos momentos se encuentran disponibles varias alternativas gratuitas, como Panda Cloud o Avira Antivir que permiten disponer sin coste de las últimas definiciones de los virus, un aspecto fundamental para que se puedan defender de ellos. Un antivirus sin actualizar no puede hacer nada contra los virus más novedosos, porque estos se diseñan para superar las barreras que establecen los programas de este tipo. "Lo mejor y más seguro es no desactivar las opciones de seguridad y no instalar nada de procedencia dudosa", concluye Alonso.
Nuevas amenazas más sigilosas"No podemos delegar toda defensa a los nuevos sistemas operativos", advierte Chema Alonso, consultor de seguridad en la empresa Informatica64. Para este especialista el regreso de los troyanos supone "la mayor de las amenazas". Se trata de programas que se instalan en el ordenador a escondidas y le abren una puerta trasera para comunicarse con el exterior con aviesas intenciones. "La idea es que el malware ya no quiere infectar y destrozar tu equipo, ahora quiere quedarse en él viviendo contigo, para controlar tus acciones y utilizar el equipo a conveniencia", afirma. Por ejemplo, esos programas pueden descubrir lo que se teclea, y con ello los nombres de usuario y contraseñas de muchos servicios, con el consiguiente riesgo; o pueden instalar software dañino sin que el usuario se percate. También pueden utilizar el ordenador como centro emisor de spam y así camuflar mejor la ubicación de los verdaderos "spammers".
En busca de vulnerabilidades
Hoy en día, las infecciones no necesitan de la intervención del usuario. Aprovechan los errores de los sistemas operativos y de los programas más habituales (el lector de PDF de Adobe o los procesadores de textos Microsoft Word u Open Office, por ejemplo) o agujeros que se hayan descubierto en los navegadores. Para minimizar el riesgo cuando se accede a Internet se puede recurrir a complementos como NoScript, que permite al usuario seleccionar lo que se ejecuta dentro de una página web.
De esta manera, se puede establecer una lista blanca y dar permiso a lo que es seguro, por ejemplo, los elementos que hacen que funcione una página con menús dinámicos, y se deniegue el permiso a los desconocidos. Por su parte, Internet Explorer cuenta con un modo de navegación, denominado "Protegido", que minimiza las posibilidades de que se ejecute malware durante la navegación.
No existe un software perfecto en seguridad, pero sí hay gente interesada en averiguar posibles vulnerabilidades para obtener un provecho económico. De ahí la importancia de mantener todas las aplicaciones siempre actualizadas. Linux ofrece una buena solución en esta materia porque integra en sus distribuciones un actualizador tanto del sistema operativo como de las aplicaciones, puesto que la gran mayoría son libres. En Windows ningún sistema interno realiza esta labor, pero aplicaciones de terceros se encargan de esta tarea, como Filehippo o AppHit. Un buen sitio para enterarse de las últimas vulnerabilidades descubiertas en todo tipo de programas es Secunia.
Las redes de botnets
Una vez que uno de estos gusanos o troyanos infectan el ordenador, siempre que no sean detectados, esperan a que su diseñador los active. Se gestionan a distancia y de forma masiva mediante paneles de control. Se conforman lo que se conocen como "botnets", "grandes redes de ordenadores controlados, utilizadas por las mafias para la delincuencia".
Sin embargo, en la actualidad resulta difícil saber si un ordenador está infectado por uno de estos programas maliciosos. Se diseñan para permanecer en la sombra, sin que el usuario se percate. Desde luego, el primer síntoma es ese famoso "el ordenador me hace cosas raras". "Hablar hoy en día de cosas raras, cuando los sistemas XP y Vista están ya en las fases finales de su ciclo de vida y por tanto, cuando se han depurado la gran mayoría de sus defectos, es equivalente de tener algo malo en el equipo", explica Alonso.
Otra opción puede ser utilizar los servicios de escáner en línea de virus que buscan malware dentro de los discos duros y pueden eliminarlos. La única diferencia respecto a los antivirus tradicionales radica en que no pueden prevenir la infección por no estar instalados dentro del ordenador. En caso de que no se solucione y tampoco los antivirus convencionales ayuden, se debe formatear el ordenador y reinstalar el sistema operativo para que todo vuelva a la normalidad.

Juan Pérez Hernández.
Seguridad en áreas computacionales.

Fuente: http://blog.segu-info.com.ar/2009/07/que-ha-sido-de-los-virus.html

¿Construimos Software Seguro?

¿Por qué encontramos tantos fallos de seguridad en los desarrollos una vez que éstos han subido a producción? Pensemos por un momento en las aplicaciones de Internet y en la cantidad de veces que se han reportado vulnerabilidades que permitían acceder a las bases de datos de los clientes por culpa de fallos en los desarrollos. La seguridad juega un papel muy importante en estos productos y no se le presta la atención que merece.
Conozco casos donde los desarrolladores reportan la ausencia de requisitos de seguridad a sus responsables y las excusas por parte del equipo de diseño siempre suelen ser las mismas: no hay tiempo, los plazos son escasos, no hay presupuesto. Pero luego a quienes se apunta con el dedo cuando empiezan a aparecer los bugs, es a los desarrolladores.
¿No sería mejor empezar a pensar en seguridad desde que comienza el ciclo de vida del software y no después de subir el producto a producción, cuando los costos se vean aumentados por la necesidad de tener que aplicar parches y más parches?.Las organizaciones deben definir una serie de prioridades y la mayoría de las veces la seguridad no suele ser de alta prioridad. A menudo, no es rentable hacer un sistema tan seguro como sea posible, ya que el riesgo es bajo y el costo es alto.
Cuando recibimos los estudios de viabilidad de los clientes, revisamos en busca de requisitos de seguridad pero éstos son escasos y en muchas ocasiones inexistentes. Si los analistas son buenos éstos se encargan de incluir algunos, pero como las estimaciones de los proyectos suelen ser en la mayoría de los casos muy ajustadas, tienden a omitirlos.
El software está en la raíz de la mayoría de los problemas de seguridad informática, si éste no se comporta de forma adecuada surgirán problemas de integridad, disponibilidad, confidencialidad... Los bugs y vulnerabilidades son la causa de un mal diseño y una mala implementación. Debemos empezar a concientizarnos: la seguridad debe estar presente en todas las fases del ciclo de vida de un producto.
En el inicio, durante la fase de análisis se debe realizar un análisis de impacto y pensar en las amenazas y vulnerabilidades a las que puede verse afectado nuestro producto, para ello debemos incorporar modelos de amenazas. Además todo arquitecto debe recoger: las políticas, los riesgos y las normas jurídicas. En la fase de diseño se debe realizar un análisis de riesgos, el cual debe ser realizado por expertos en seguridad quienes son capaces de reconocer en que situaciones se producen los ataques más comunes. Durante la fase de implementación, si los programadores necesitan formación en seguridad, se les debe de proporcionar dicha formación.
En el plan de pruebas funcionales, también debe estar presente la seguridad ya que pueden surgir nuevas protecciones a incluir. Se deben incluir pruebas de seguridad, test de intrusión, pruebas de carga, pruebas de denegación de servicio y planes de mitigación de riesgos. En estos casos podemos utilizar herramientas para el análisis de vulnerabilidades como:
Fortify Source Code Analyzer
ITS4 Software Security Tool
RATS
Flawfinder
PREfast
Automatic Verification and Analysis of Complex Systems (AVACS)
Además debemos incluir una buena auditoría, ya que es una parte esencial en la seguridad del software. Pero todas estas medidas no se harán efectivas si no están incluidas en el Gobierno de TI(conjunto de procedimientos, estructuras y comportamientos utilizados para lograr una mejor relación entre los actores implicados en el funcionamiento y la administración de los sistemas de información en una organización), es decir, si no hay conciencientización en materias de seguridad desde las altas esferas.
Es extraordinariamente rentable invertir en seguridad en las etapas iniciales del proyecto, podemos hablar de ahorros del 20% (Secure Business Quarterly). En definitiva, se recomienda establecer los controles desde que se establecen los requisitos. Os recomiendo la lectura de Systems Security Engineering Capability Maturity Model (SSE-CMM) y dar un paseo por OWASP.

Juan Pérez Hernández.

Seguridad en áreas computacionales.
Fuente: Security By Default
http://www.segu-info.com.ar/

Ultra Backup USB

SanDisk trae a México el SanDisk Ultra Backup USB, diseñado especialmente para respaldar fotos, música, videos y documentos, con sólo tocar un botón.
En capacidades de hasta 64 Gb, el dispositivo funciona sin necesidad de cables o de instalación de software. Sólo será necesario conectarlo al puerto USB de la máquina y pulsar el botón “backup”; de esta manera, se realizará la copia automática de seguridad de los documentos y/o carpetas que hayan sido previamente seleccionadas para ello.
La tecnología que SanDisk ha desarrollado hace posible que mediante una única pulsación el contenido digital sea protegido con un método dual de seguridad, que incluye control de acceso por medio de contraseña y la encritación de archivos a través de Advanced Encryption Standard (AES), un estándar de cifradp tan confiable que fue adaptado por el gobierno de Estados Unidos. Estas caracteríticas lo hacen ideal también para los mercados empresariales, ya sean grandes corporativos o Pymes.
Este producto se ecuentra disponile en capacidades de 8 Gb, 16Gb, 32 Gb, y 64Gb con precios sugeridos de $49.99 dólares, $97.99 dólares, $166.99 dólares y $277.99 dólares, respectivamente.

Juan Pérez Hernández.
Seguridad en áreas computacionales.
Fuente: http://www.matuk.com/2009/05/14/ultra-backup/

La Nanotecnología puede extender la duración de las baterías hasta 3 veces

No hay nada más importante que la duración de las baterías en nuestros gadgets. De esta forma es posible para los usuarios puedan disfrutar más tiempo sus productos sin necesidad de estar cargando con los molestos, pero necesarios cargadores.
Las baterías de iones de litio son dispositivos diseñados para almacenamiento de energía eléctrica que emplea como electrolito, una sal de litio que procura los iones necesarios para generar la ansiada electricidad. Esta tecnología se ha situado como la más interesante en su clase en usos para computadoras portátiles, teléfonos móviles y otros aparatos eléctricos y electrónicos.
Recientemente, unos científicos de la Universidad de Waterloo ubicada en Canadá, han diseñado un prototipo basado en sulfuro de litio, que es capaz de mantener la energía que guardan los iones de litio mediante nanotecnología.
Gracias al uso de carbono mesoporo, material basado en una estructura de poros, es posible mantener la carga de energía en las baterías. La idea es que la densidad de cada una de las celdas sea de 500Wh/kg, lo que daría por resultado, por ejemplo, que la batería de una laptop que dura 9 horas, con esta tecnología, durará aproximadamente unas 27, lo que nos llevaría a dejar de cargar el aparato por varios días.
En hora buena para todos, esperemos que esta idea madure y que pronto podamos olvidarnos de los cables y de buscar enchufes por todos lados.

API, Interface de Programación de Aplicaciones

Una API (Application Programming Interface o Interfase de Programación de Aplicaciones) es un conjunto de funciones que facilitan el intercambio de mensajes o datos entre dos aplicaciones. Es una forma de que dos aplicaciones que trabajan al mismo tiempo –como podría ser un procesador de texto y una hoja de cálculo– se comuniquen e intercambien datos.

En Internet, una API permite que un sitio web brinde determinado servicio a otro, a través de llamadas a funciones documentadas y publicadas,
facilitando de esta manera el “mash-up” o mezcla de servicios. Por
ejemplo, hoy es posible que desde un blog personal se puedan publicar
noticias del sitio de un famoso periódico, mezcladas con fotos que ya
están alojadas en un sitio de fotografías, a través de llamadas a la API de estos dos servicios.


Una API detalla solamente la forma de llamar a cada función y la
tarea que esta desempeña, sin importar cómo se lleva a cabo dicha tarea.


Detalles técnicos


Un API es un conjunto de reglas para escribir funciones o
hacer llamados a subrutinas y acceder a otras funciones en una librería. Los programas que usan estas reglas o funciones en sus llamadas API pueden comunicarse con cualquiera que use dicha API.


Las API abren distintos tipos de diálogos con el proveedor para obtener o actualizar información en el mismo, entre ellos:


Acceso a bases de datos
Comunicación cliente/servidor
Comunicación peer-to-peer
Comunicación en tiempo real
Event-driven (orientada a eventos)
Store and forward
Procesamiento de transacciones

Una API puede combinar recuperación de errores, traducción de datos,
seguridad, manejo de colas y nomenclatura con una interfase fácil de
asimilar, que comprende acciones y comandos simples pero con muchas
opciones.

Colaborador: Enrique Pérez

Fuente: HTML en castellano (http://www.programacion.com/html/noticia/1544/)

Encuesta detecta que las Políticas de Seguridad son evadidas por los empleados.

Muchas compañías tienen políticas de seguridad y procedimientos en su lugar, pero los resultados de una encuesta reciente muestran que los empleados comúnmente se saltan estas medidas, llevándose datos a casa con muy escasas protecciones.
En muchos casos, las compañías se esfuerzan por encontrar el balance adecuado entre los requisitos estrictos de seguridad y la productividad del empleado ya que muchos empleados trabajan en casa. El cifrado y otras tecnologías están al alcance de la mano, pero algunas firmas aceptan el riesgo o desconocen que el usuario final se lleva datos de clientes, información de identificación de personas o datos sobre las finanzas de la compañía a su casa en sus computadoras, teléfonos móviles o unidades USB.
RSA Security Inc, la división de seguridad de EMC Corp., condujo este estudio, encuestando a 417 individuos en conferencias separadas en abril, mayo y junio, 46% de los encuestados laboran en el sector de servicios financieros, 46% son profesionales de tecnologías de la información y 54% trabajan en compañías de más de 5,000 empleados.
El estudio encontró que el 94% se familiarizan con las políticas de seguridad en tecnologías de la información de su organización, pero sólo el 53% afirmó sentir la necesidad de trabajar alrededor de las políticas de seguridad para cumplir con su trabajo.
"Existe una relación costo-beneficio entre seguridad, costo total de propiedad y facilidad de uso", dijo Sean Kline, director de manejo de producto del sistema de identificación de acceso en el grupo RSA. "Cuando no se cuenta con un balance correcto para estos aspectos en algún grupo de una organización, existirá poca armonía e intentarán resolver esto alrededor de la seguridad."
Casi la mitad de los encuestados y el 60% de los que viven en los Estados Unidos, reportaron que comúnmente salen del trabajo con una laptop o un dispositivo móvil que lleva información sensible relacionada con su trabajo. Aunque pocos reportaron haber perdido un dispositivo con información sensible, la información con escasa probabilidad iba encriptada, dijo Kline.
"Las compañías motivan a sus empleados a salir de la oficina con información importante, lo importante esta en los controles de seguridad usados para hacerlo de forma segura", dijo el experto.
Kline dijo que algunas empresas usan sistemas de cifrado en incluso tecnologías para el manejo de derechos en la información y controlar así el acceso a documentos de negocios asegurando que sean inútiles en manos de otro empleado o alguien ajeno a la empresa. Sin embargo otras empresas parecen escoger tomar el riesgo en lugar de agregar controles de seguridad costosos.
En algunas ocasiones los empleados envían documentos de negocios a través de su correo electrónico de uso personal de tal manera que los puedan consultar en casa. 79% de los encuestados aceptaron haber accedido a documentos de la empresa a través de su correo personal.
La capacitación y la educación en seguridad no ha sido subestimada en muchas organizaciones, cerca del 70% de los encuestados afirmaron haber recibido entrenamiento acerca de la importancia de seguir prácticas de seguridad.
Kline dijo que existen a disposición buenas prácticas que ayudan a las empresas a encontrar el balance adecuado entre seguridad y productividad. La International Organization for Standarization (ISO) ha establecido un conjunto de prácticas en la norma ISO 27002 que pueden ayudar a las compañías en la implementación o mejora de sus programas de seguridad informática, dijo Kline.
"Es importante tomarse el tiempo de clasificar que información y que transacciones realizadas alrededor de la información tienen el valor más alto y posteriormente analizar las posibles amenazas presentes en la organización para poder crear políticas para prevenir la ocurrencia de un evento." dijo Kline. "Si sólo saltas de pronto a poner controles, ahí es donde tienes un problema."
Además eres un riesgo para la seguridad en tecnologías de la información si eres visto como un obstáculo a la productividad. Un estudio, realizado por la firma de investigación IDC en nombre de RSA, encontró que la mayoría de los administradores expertos cree que los riesgos de seguridad son el mayor obstáculo para la innovación en su negocio.

Juan Pérez Hernández.

Seguridad en áreas computacionales.

Fuente: http://www.seguridad.unam.mx/noticias/?noti=3172

Bing: Buscador de Microsoft que compite con Google

Microsoft lanzó el jueves su renombrado y reconstruido motor de búsqueda: Bing, llamado anteriormente Kumo, diseñado para sustituir a Live Search. Es una sólida mejora respecto a su anterior producto, y supera a Google en áreas importantes. Esto ayudará a ganar adeptos de Microsoft en la búsqueda de negocios. Es sorprendentemente competitivo respecto a Google.

En la presentación de las búsquedas, Bing gana. Se utiliza tecnología Powerset (una empresa de tecnología de búsqueda que Microsoft adquirió) para mostrar las versiones refinadas de la consulta en el margen izquierdo de la página. Por ejemplo, se buscó el juego "Fallout 3" en Google y Bing. Aunque Google dió buenos resultados, Bing proporcionó un menú de "búsquedas relacionadas", que incluía Tutoriales, Noticias, y así sucesivamente.


Bing también muestra un extracto del texto sobre el resultado de una búsqueda si se pasa el ratón sobre ella. Esto ahorra mucho tiempo si no estás muy seguro de si quiere seguir un resultado.

En el contenido de los resultados de la búsqueda, Bing no es consistentemente superior a Google. En un cierto número de búsquedas personalizadas (no las búsquedas de muestra que Microsoft proporcionó), los resultados de Google son más relevantes y útiles. En muchos casos, Google entregó mejor información justo lo suficiente para cuestionar se se adopta aBing como un reemplazo del motor de búsqueda. Sólo un ejemplo: La búsqueda de la "La mejor pintura de casa para los climas húmedos" dió un mejores enlaces en la parte superior de los resultados de la búsqueda con Google que con Bing.

Colaborador: Enrique Pérez
Fuente CNet (http://news.cnet.com/8301-17939_109-10251432-2.html?tag=mncol;mlt_related)

Más esquemas de protección biométricos

Con el crecimiento exponencial de la información se ha visto la necesidad de protegerla de ojos intrusivos. No toda la información puede estar disponible para todos y en todo momento. La privacidad de los datos es un tema sensible en muchos casos y frecuentemente se usan diferentes esquemas para proteger de, extraños o curiosos, información privilegiada.
Así se han creado todo genero de sistemas, los más simples y tradicionales en base a nombres y contraseñas. Con los años se han encontrado las deficiencias de esto. Por ejemplo, una buena contraseña debería tener mayúsculas, minúsculas y además números. Sin embargo, a la gente le gusta en general poner palabras que fácilmente pueda recordar. De hecho, hay estudios sobre las contraseñas más usadas (en los EEUU, desde luego). Es más, se ha encontrado que “” es la contraseña más popular en el vecino país.
Debido a esto se han buscado alternativas. Las más interesantes son las que corresponden a las características del cuerpo humano. Las huellas digitales, que como sabemos, son únicas para cada persona, el iris, el rostro en sí. Todo género de esquemas se han usado y evidentemente siempre se buscará la manera de romperlos. No obstante, las medidas biométricas parecen ser hasta ahora la mejor solución.
De esta manera Sony ha desarrollado una tecnología que podría usar las venas de sus dedos para autentificar su entrada a un sistema de cómputo. Aunque aún no ha sido liberado, Sony piensa que su sistema es altamente preciso y permitiría a los usuarios poder autentificarse en sus computadoras personales y dispositivos móviles.
El sistema biométrico de Sony utiliza los patrones de las venas de los dedos, los cuales son únicos en cada persona. Considerando que cada vez se usan más los dedos en los dispositivos móviles, como el iPhone, G1, BlackBerry Storm, esta tecnología podría adoptarse más pronto de lo que imaginamos.
En breve, el sensor toma la imagen, encuentra el patrón en los dedos, comprime los datos para poder residir en un dispositivo móvil y un algoritmo comparador autentifica al usuario. Sony indica que este año tendrá listo el dispositivo para dispositivos móviles y sistemas de seguridad fiscal.

Juan Pérez Hernández.
Seguridad en áreas computacionales.
Fuente: http://www.matuk.com/2009/02/03/mas-esquemas-de-proteccion-biometricos/

La ciencia y la tecnología en México

En el presente artículo podrás visualizar el análisis sobre el desarrollo de tecnología en nuestro País, pero valdría la pena en principio definir qué es Ciencia y qué es Tegnología:

Tecnología es el conjunto de habilidades que permiten construir objetos y máquinas para adaptar el medio y satisfacer nuestras necesidades.

Es una palabra de origen griego, τεχνολογος, formada por tekne (τεχνη, "arte, técnica u oficio") y logos (λογος, "conjunto de saberes"). Aunque hay muchas tecnologías muy diferentes entre sí, es frecuente usar el término en singular para referirse a una cualquiera de ellas o al conjunto de todas. Cuando se lo escribe con mayúscula, tecnología puede referirse tanto a la disciplina teórica que estudia los saberes comunes a todas las tecnologías, como a educación tecnológica, la disciplina escolar abocada a la familiarización con las tecnologías más importantes.

La ciencia (del latín scientia 'conocimiento') es la recopilación y desarrollo previo a la experimentación metodológica (o accidental) del conocimiento.

Es el conocimiento sistematizado, elaborado mediante observaciones, razonamientos y pruebas metódicamente organizadas. La ciencia utiliza diferentes métodos y técnicas para la adquisición y organización de conocimientos sobre la estructura de un conjunto de hechos objetivos y accesibles a varios observadores, además de estar basada en un criterio de verdad y una corrección permanente. La aplicación de esos métodos y conocimientos conduce a la generación de más conocimiento objetivo en forma de predicciones concretas, cuantitativas y comprobables referidas a hechos observables pasados, presentes y futuros.

El papel que la ciencia y la tecnología en México

Se ha tenido en el desarrollo de las naciones a partir del siglo XVI y aun antes es un hecho conocido y aceptado. Este papel se ha venido incrementando de manera incesante, hasta convertirse al inicio del siglo XXI en factor estratégico de supervivencia e integridad nacionales.
Por ello resulta inadmisible y suicida la escasa importancia que la sociedad mexicana y de manera especial el gobierno le han dado al tema.

La actividad es similar a la de muchos hombres y mujeres que conocen y aceptan la importancia que el ejercicio tiene para la salud individual y la calidad de vida, pero que nada hacen al respecto.
Un gravísimo error del gobierno ha consistido en destinar recursos importantes a la formación de científicos y tecnólogos, para luego ignorarlos en los procesos de adquisición de tecnologías que bien podrían desarrollarse en México, o inclusive solicitando servicios de asesoría en materia tecnológica a empresas extranjeras, impidiendo la formación de experiencia y capacidad propias para realizar desarrollos tecnológicos que el país necesita y que nos permitirían dar un giro en la dirección que llevan otras naciones que sí se están tomando en serio la necesidad de crear una capacidad tecnológica real, como India y Corea.

Un ejemplo claro de la incongruencia institucional en que vivimos como país está en el programa Prosoft, establecido por la Secretaría de Economía para desarrollar la industria nacional de software, cuyas metas son, entre otras, lograr que México esté entre las primeras naciones a escala mundial en este campo dentro de tres o cuatro años; sin embargo, los montos que destina para este fin se reducen a unos cuantos millones de pesos, los cuales son utilizados en su mayor parte a pagar los sueldo de un grupo de funcionarios, supuestamente para asesorar a dichas empresas, a base de buenos deseos.

Al mismo tiempo, cuando un productor de software, después de mil penalidades, logra consolidar el desarrollo de un producto o de una herramienta atractiva de software, y la ofrece a una institución gubernamental para resolver un problema específico, la mayor parte de las veces la oferta se verá rechazada, porque el producto no ha sido probado y usado antes en otras instituciones, o porque la empresa no brinda las condiciones de solidez económica que sí ofrecen las empresas norteamericanas y europeas.

Para una empresa de software ofrecer sus productos al sector privado resulta más difícil aún, porque dichas empresas cuando son grandes dependen de una oficina corporativa que reside en otro país; tal es el caso de los bancos, las cadenas comerciales y las grandes industrias. De esta manera las empresas mexicanas productoras de software cuando sobreviven lo hacen en condiciones de penuria, mediante contratos migaja que obtienen en forma errática y casual. ¿De veras es posible que los planes de la secretaría se cumplan?

El caso de la industria de software es un ejemplo importante, pero no el único: los fracasos se repiten en electrónica, electricidad, mecánica, hidráulica y biotecnología, por más que queramos imaginar. ¿Cómo podemos cambiar esta realidad? ¿Será éste un tema relevante para el próximo gobierno?

En lo personal considero que el problema es muy serio, porque a diferencia de otras naciones no contamos con cultura tecnológica, ni con una historia de desarrollos científicos y tecnológicos propia. Los libros de texto de la escuela primaria plantean el desarrollo de la ciencia y la tecnología como una serie de hechos fortuitos e inconexos, ignorando los enormes esfuerzos que los hicieron posibles y las consecuencias brutales que de ellos se derivan. Mientas esta realidad se siga ignorando, México estará condenado a seguir en el subdesarrollo.

Valdría la pena reflexionar¿En nuestro País se hace Ciencia?

Continuará...

Foro virtual para conseguir trabajo

Microsoft en México ha anunciado un foro virtual nacional de reclutamiento, cuya intención es contratar talentos en el área de tecnología, desde luego. A través de esta idea, Microsoft y sus socios de negocios abren la posibilidad de conseguir trabajo.

Los convocados a este foro virtual son estudiantes, profesionales de las tecnologías de información, freelancers y desarrolladores de todo México. La fecha límite para enviar el CV es el 5 de junio del 2009. Los primeros 300 profesionales en hacerlo se beneficiarán con software útil en su desarrollo profesional, así como cursos de certificación en tecnologías de Microsoft.

Para participar hay que enviar de forma electrónica (hasta el 5 de junio del 2009),el CV (curriculum vitae), en formato Word a mstalent@microsoft.com. Además hay que registrarse en el portal Microsoft Student to Business (www.s2bprogram.com/mexico).

De acuerdo a Microsoft, los ingenieros y estudiantes en sistemas computacionales o carreras afines tienen la posibilidad de que sus currículos llegarán no sólo a recursos humanos de Microsoft sino también a sus 30 socios de negocios. Las empresas participantes son: Dell, Ascenzo, Scanda, Emlink, Theos, Hidelbrando, KED, ITSLN, Enfinito, Migesa, Intersoftware, ISVs, Datavision, Axiltia, TIM, Cionet, Intellego, Vision Consulting, Bside Consulting, Qualita, Extend solutions, Impra, Micronext, Axxis, Unika, Vanti, Fillgap, GCG, FES y IT Soluciones.

La convocatoria indica que quienes envíen su CV antes del 5 de junio de 2009 y hayan sido los primeros trescientos en hacerlo recibirán grandes beneficios. Aquellos con perfil de estudiantes podrán descargar, sin costo, paquetería como Visual Studio, SQL Server 2008, Microsoft Expression, Microsoft Office Visio 2007, Windows 7, Microsoft Groove 2007, Microsoft Project 2007 y XNA. Además, recibirán una clave de acceso para recibir completamente gratis un curso de certificación de tecnología Microsoft, cuyo valor en el mercado es de alrededor de 400 dólares. Podrán escoger entre Windows Developer Track, Web Developer Track, Database Track, Windows Server o Windows Client.

Para aquéllos que envíen su CV bajo el perfil de IT pros, freelancers y desarrolladores podrán descargar Windows 7, además de recibir libros de Microsoft Press y discos con contenido técnico exclusivo.

Los acreedores a estos beneficios que vivan en la Ciudad de México podrán recoger el software en las instalaciones de Microsoft México, mientras que aquellos que residan fuera de la ciudad podrán descargarlo de un portal que la compañía les notificará.

Colaborador: Enrique Pérez
Fuente: matuk.com (http://www.matuk.com/2009/05/28/foro-virtual-para-conseguir-trabajo)

Seguridad en Internet

El surgimiento de la mayor red de información existente fue un gran logro para la tecnología. Y es que Internet no sólo sirve para encontrar cualquier cosa en la que se nos ocurra pensar, sino que es una de las más útiles herramientas para, desde un punto, poder hacer todo tipo de intercambios con el globo. Desde finanzas hasta chats en busca de parejas... Hay de todo en Internet!!
Pero con todas estas ventajas existen innumerables desventajas, de las que tenemos que estar concientes al momento de utilizar Internet, sabiendo que no conocemos a quien pueda estar detrás de la otra máquina. Considerando esto seriamente es necesario saber a qué tipos de riesgos nos enfrentamos al abrir nuestra máquina a todo el mundo.
Los riesgos son numerosos y ponen en peligro, desde la integridad de nuestro equipo de cómputo hasta la integridad de nosotros mismos. Para evitar estos peligros es necesario tomar un número de medidas que nos prevengan de sufrir algún contratiempo por el hecho de usar Internet.
Uno de los principales riesgos que sufrimos día con día es el hecho de que nuestra computadora se vea infectada por algún tipo de virus enviado por un e-mail. Estos correos son muy frecuentes y, en ocasiones pueden resultar fatales para nuestra computadora. La principal medida que debemos considerar es tener un antivirus pues nuestra máquina está expuesta a contraer un virus aún cuando ni siquiera tenga acceso a Internet. Otra cosa muy importante es actualizar el antivirus dado que todos los días surgen nuevos virus y el antivirus debe ser capaz de enfrentar a todos. Otro punto muy importante se refiera a nosotros mismos que debemos estar pendientes sobre toda la información nueva acerca de virus para procurar no vernos infectados por un virus nuevo. Finalmente, es muy importante que nunca abramos mails cuya procedencia no conocemos por que así como podemos encontrar un mail de propaganda o uno de pornografía, también podemos abrir un mail con un virus que infecte nuestra máquina.
Otro gran peligro referente a Internet y que en las últimas fechas se ha compaginado con el peligro de la inseguridad en nuestro país es el hecho de que las personas que se conocen por Internet y después deciden conocerse personalmente, muchas veces se ven expuestas a un peligro pues no saben a quien van a conocer. Puede ser, desde un gordito chistosísimo, totalmente contrario al modelo guapísimo que decía ser hasta un secuestrador. Por eso no se recomienda que estos encuentros se lleven a cabo en lugares muy solos o aislados, sino todo lo contrario. Cuando vayas a conocer a alguien de algún chat, házlo en un lugar público y muy frecuentado, como algún restaurante o un mall. Finalmente recuerda que nunca debes dar datos como tu dirección o tu teléfono hasta no tener la seguridad de que tu ciberamigo sea una persona en la que puedas confiar.
Internet es un medio muy efectivo y, quizás el hecho de tener que ser un poquito precavidos sea el precio que tengamos que pagar, no?

Asignatura: Seguridad en áreas computacionales.
Profesor: Juan Pérez Hernández.

Fuente: http://microasist.com.mx/noticias/internet/paoin1401.shtml