Saturday, November 29, 2008

Uso de estándares

Hoy vamos a hablar de estándares y su utilización en nuestras tareas habituales.
Primero definamos qué entendemos por estándar:
- Según wikipedia por ej. un estándar es una especificación que regula la realización de ciertos procesos o la fabricación de componentes para garantizar la interoperabilidad.
- Según la ISO (International Organization for Standarization) la Normalización es la actividad que tiene por objeto establecer, ante problemas reales o potenciales, disposiciones destinadas a usos comunes y repetidos, con el fin de obtener un nivel de ordenamiento óptimo en un contexto dado, que puede ser tecnológico, político o económico.
La normalización persigue fundamentalmente tres objetivos:
* Simplificación: Se trata de reducir los modelos quedándose únicamente con los más necesarios.
* Unificación: Para permitir la intercambiabilidad / interoperabilidad a nivel internacional.
* Especificación: Se persigue evitar errores de identificación creando un lenguaje claro y preciso

Teniendo en cuenta además que un estándar se convierte en tal, luego de que su utilización se hace masiva, podemos entonces pensar que en nuestras labores cotidianas y sobre todo en el ambiente de las Tecnologías de Información existen infinitas tareas que pueden estandarizarse. Veamos un ejemplo:
Cuántos de nosotros hemos instalado en más de una oportunidad un sistema operativo, algún servidor de correo, o realizado la migración de servicios?
Independientemente de que la implementación haya sido exitosa, he aquí la gran pregunta: SIEMPRE SEGUIMOS LOS MISMOS PASOS?
Realizar por ejemplo una planificación, preever supuestos, tener planes alternativos, controlar que la ejecución de pasos se realice de acuerdo a lo planificado, documentar los procesos y posteriormente a su ejecución analizar posibles mejoras de los mismos. Si señores esas son actividades que nos van a permitir estandarizar logrando como dice doña ISO: Simplificación, Unificación y Especificación.
Y que logramos con esto? En el caso de la instalación del SO por ej:
- Posibilidad de delegar tareas operativas asegurándonos de que se realicen de forma adecuada.
- Mayor grado de control.
- Independencia de las personas y de las ganas que éstas tengan de realizar sus labores.
- Mayor rapidez y exactitud en los procesos de toma de decisiones.
- Mayor capacidad de respuesta a incidentes: uptime de servicios alto, reducción del tiempo entre fallas.
- Mayor estabilidad y niveles de seguridad.
- Y como si fuera poco menor carga de trabajo para los administradores o responsables que por lo general suelen dedicar mucho tiempo a tareas no relacionadas con su cargo debido a la falta de estándares.
Para finalizar, aclaremos que no se trata de utilizar o generar estándares por capricho. Si bien está comprobado que la utilización de estándares beneficia por lo general a las organizaciones que los implementan. Por más ISO, BS, IRAM, etc que fuese, nunca debemos perder de vista la realidad de la organización y adecuar los mismos ésta. Debemos tratar de mejorar continuamente de eso se trata.

Algunos estándares tecnológicos muy utilizados:
ITIL, COBIT, ISO 27k, SOX, entre otros.

Monday, November 10, 2008

Hay que blogear, eso dicen

Perdón por haberte dejado mi querido amigo blog. No tengo excusas así que a contar en qué andamos:

Hace casi dos años estoy abocado a tareas relacionadas con la Seguridad de la Información un término que voy a repetir hasta el cansancio de acá en más y que no se confunda con un el subconjunto o subsistema denominado Seguridad Informática. Lejos está ya el tiempo en el que la seguridad pasaba por la tecnología únicamente (Firewalls, Antivirus, IDSs, IPSs, entre otros), hoy debemos pensar no solo en ello sino también en Procesos (Documentación, Cumplimientos normativos, Buenas Prácticas, Estándares) y Personas (Conciencia de Seguridad y riesgos inherentes propios yo diría de la era de la información).

Pero pensemos en un pequeño ejemplo, para aclarar de qué estamos hablando:
En una empresa X se decide dar cierto grado de seguridad a la información considerada crítica o sensible y para ello deciden contratarnos como profesionales de seguridad.
Surgen muchas preguntas pero listemos algunas:
Cómo saber cuándo estamos en presencia de información crítica o sensible?. Esto nos hace pensar que necesitamos alguna metodología para clasificarla.
Dónde se encuentra dicha información? De aquí surge, que sería conveniente contar con algún mecanismo de registro, un inventario tal vez que nos permita saber dónde está esa información, qué sistemas la procesan, en qué medios se almacenan y demás.
Quién maneja / administra / transporta o hace algún uso de esa información? Debemos también identificar a los propietarios de esa información para poder posteriormente definir un control de acceso acorde a sus necesidades.
A qué tipo de amenazas está sometida dicha información? Si es información digital por ej. se realizar copias de resguardo (backups)? Si fuese información impresa por ej. está almacenada en un área o lugar seguro?
El estudio detallado de los riesgos a los cuales está expuesta la información de una organización se conoce como Análisis de Riesgo, el cual puede realizarse de manera cuantitativa y/o cualitativa y sirve como herramienta de gestión para obtener el nivel de seguridad global existente, justificar inversiones, aplicar controles de seguridad acorde y facilitar el arduo trabajo de quienes estamos relacionados con la Seguridad de la Información, entre otras utilidades.
Podemos continuar con esta lista de preguntas, pero me interesa que noten que nunca hablamos de ningún tipo de tecnología. Es que así debe ser, primero debemos VALORAR la información para posteriormente decidir si vamos a asumir el riesgo, trasladarlo o implementar Tecnología, mejorar los Procesos o capacitar a las Personas o las tres cosas.
Espero como siempre haber sido claro y que este post les resulte práctico. Para quien quiera comenzar a transitar el camino de la Seguridad de la Información les aconsejo visitar los siguientes sitios:
http://secugest.blogspot.com/
http://www.iso27000.es/
http://seguridad-de-la-informacion.blogspot.com/
http://blog.infosecman.com/
http://www.segu-info.com.ar/
Además de temas como:
SGSI (ISMS), Gestión de Riesgos, ISO familia 27000, MAGERIT, entre otros.

Thursday, July 24, 2008

PHP Easter Eggs

Seguramente la mayoría que ha trabajado alguna vez con php conoce de la existencia de unos famosos huevos de pascua que se pueden visualizar agregando cierto valor al final de un archivo .php similar a esto:
http://php.net/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
Los hay de todo tipo, pueden ver algunos otros aquí

Pero, para ir directo al grano, la pregunta es la siguiente:

Creen uds, que dichos huevos pueden representar una amenaza en particular para quienes permitan visualizar estos eggs?

Descartemos el hecho de que se pueda obtener la versión de php, ya que existen métodos mucho más fáciles y efectivos para eso, como los de inspeccionar los Response Headers de dichas páginas, donde no solo podríamos obtener la versión del php, sino también la del web server.

Nota: Si alguien no quiere permitir su visualización, solo ponga la variable expose_php=off en su archivo de configuración php.ini.

Saludos y como siempre espero poder contribuir con alguien al menos.

Sunday, May 11, 2008

No será Privada la 192.168.100.1? chan!


Bueno a ver... cómo decirlo. Puede pasar en las mejores familias, pero veanlo con sus propios ojos...
La ip 192.168.100.1 entra dentro del rango 192.168.0.0 - 192.168.255.255, y por lo tanto es considerada una IP interna clase C. Este tipo de direcciones para quien no esté familiarizado se utiliza en entornos privados para la contrucción de intranets o redes internas que soportan el direccionamiento IP (Ej. una red en casa, la oficina, etc) y NO DEBERÍAN, ser usadas como direcciones IP válidas en Internet cosa que si es posible en Argentina como otras tantas cosas.
En fin... Dejo a los lectores de este blog que emitan opinión del caso.
Saludos y como siempre espero haber colaborado con alguien.