Seguridad IT:Controles ISO 27002

Hoy vamos ha dar una vision general de los controles o documentos que deberíamos de tener para ese tema de las auditorias o de una aproximación al cumplimiento de la ISO27002.
Como veréis son un pequeño grupito de documentos, los cuales nos permiten organizar básicamente los contenidos de nuestra certificación. (y de paso, organizar la documentación relativa a la gestión de nuestros sistemas

Costa de 15 puntos divididos en:

Políticas, organización, gestión activos, recursos humanos, seguridad, control de acceso, comunicaciones, mantenimientos, incidentes y continuidad de negocio.

En Castellano Aqui

Seguridad IT:Wake on Lan SCCM

Hoy, una cosita. De lo mas útil si se planifican las cosas como tiene que ser. Personalmente he yo lo utilizo bastante en mi trabajo y te permite ahorrarte un buen montón de paseos al CPD de turno o para gestionar de formar eficiente (mentira! Es para hacer el vago) el encendió y apagado del hardware de la red.

También es curioso como esta característica no suele estar recogida y parametrizada en los distintos procesos de operaciones de la empresa ni en los procedimientos y protocolos de seguridad de turno. Y eso que, si alguien es lo bastante espabilado te puede montar una buena en tus infraestructuras de red.

Así que hablaremos del, Wake on LAN SCCM.

Y que es esto? Pues esto es, y sirve para esto! Wake on Lan, pero con nuevas opciones y mas bonito.

Y para usarlo eficientemente necesitamos revisar unas cuantas cositas.

1. revisar si las nuestras estaciones lo soportan y si podemos acceder a ellas. Para eso disponemos de esta herramienta.

http://www.matcode.com/wol.htm .

2. comprobar que las estaciones, routers y swichs(estos últimos menos) soportan WOL:

http://technet.microsoft.com/en-us/library/bb680822.aspx

3. realizar un inventario de que equipos soportan y van a utilizar WOL y su estado (activado, desactivado) para temas de planes seguridad y contingencia.

4. revisar los WOL logs: WOLMgr.log, WOLCMgr.log para monitorizar la actividad del WOL.

5. Monitorizar la actividad WOL – revisar que paquetes relaciónados con WOL son enviados por tu red, por quien y a quien

http://technet.microsoft.com/en-us/library/bb693671.aspx

y para rematar, un poco de información de micro.

http://www.microsoft.com/smserver/partners/intelamt.mspx.

Seguridad IT: Forefront -Tools, Forefront-Blog

Hoy solo un pequeño apunte, el nuevo blog y recopilación de herramientas de Microsoft para la seguridad.
ForeFront Web

ForeFront Blog

Para estar al dia sobre esas cosas de seguridad y tenerlos todo atado.

Seguridad IT: Administración de Activos de Software

Una de las actividades mas tediosas, de la administración de un sistema, sin utilizar software libre, es la de gestionar todas esas licencias que posees y su mantenimiento.

Principalmente tenías dos posiciones, para enfrentar este problema.

La primera, consistía en que trabajas en una gran empresa y dispones de una licencia corporativa, asi que, instalas, instalas e instalas sin preocupar de nada (tiempos felices). Y la segunda, consistía en que no estas es una gran empresa y tienes que gestionar una a una todas las licencias que posees (hojas de Excel, word?).

Pero para eso los chicos malos disponen de un pequeño juguete que es de lo mas útil para gestionar esos caos de claves que solemos poseer.

Administración de Activos de Software by Micro, mas conocido como “SAM”El cual nos reporta, inventarios de software, mantenimiento, diseño y ejecución de políticas, procedimientos específicos, tecnologías, gestión de compras y recepción, instalaciones y soporte.

Ósea para el dia a dia de esas cosas que hacemos a diario.

SAM aqui

Sin seguridad IT: Oraculo Gartner

Gartner pronostica la caida de los precios de las licencias de software
via Diario IT

El oráculo de la seguridad, software, innovación y un montón de cosillas mas (aunque si el rio suena agua lleva) pronostica la caída de las licencias de software propietario y el auge del software libre. Claro que si opinas de sobre todo, sobre algo acertaras, la ley del 80% 20%.

Pues la verdad, es que vamos dados! Si ya tenemos problemas de seguridad con el software mantenido y actualizado por empresas, cuando nos pasemos al libre y nuestros sistemas y aplicaciones revienten, quedara muy bonito en las reuniones del equipo de administradores y ante el consejero de dirección que estamos esperando a que un guru del software libre le de por levantarse una mañana y sacar un parche que solucione ese agujerillo de seguridad que permite que cualquier quinceañero que se descargue un script exploit de la Web de hackers de turno nos reviente nuestro flamante plan de explotación de sistemas y nos tumbe nuestro CDP.

Pero nos consuela que el Cuadrante, no es más que un ejercicio de predicción más o menos condicionado, por los intereses de la industria.

Cualquiera puede pronosticar que los ordenadores seguirán siendo más rápidos, pequeños y con mayor capacidad de almacenamiento.

O que el P2p seguirá creciendo en volumen y complejidad de encriptación.

O el cambio de la industria de la música hacia nuevos modelos de difusión, centrados en los propios artistas, lejos de la influencia de las discográficas.

Y podíamos seguir asi con un largo etc.

aunque los pequeños talibanes Linuxeros, esa parte de usuarios de linux que es una minoria extemista, se lanzaran a la blogosfera a celebrar la caida de Microsoft, Sun, IBM, en una nueva noche de los "monitores rotos" y fundiran y levantaran nuevos idolos de silicio decorados con leds dorados, de Richard Stallman. Para celebrar el nuevo advenimiento de los tiempos del pinguino, el en apocalipto del software libre.

alabado sea Linux Torvall.

PD.

si Microsoft, IBM, Sun regalasen las licencias a las universidades el futuro de determinadas tecnologias seria, incierto en un plazo muy corto.

Pero de algo teníamos que hablar!

Seguridad IT: El Quiosco IT de España.

Según la lista del TOP 100 de empresas de desarrollo de software, lamentablemente España no se encuentra en ella. Siendo el desarrollo del software uno de los pilares económicos y punta de lanza del desarrollo IT. España esta España nuestra, se queda a las puertas de África. Da igual, la cantidad de inversión que realiza el estado español si al final los proyectos, no son realistas ni se orientan al mercado vigente, ni que se inviertan millones de euros en seudo-organismos de promoción de las empresas IT, a los cuales solo basta con echar un vistazo e sus líneas de trabajo para apreciar la falta mas absoluta de resultados, quedándose todo en operaciones de imagen populistas.

Últimamente también se a observado como determinadas asociaciones de fabricantes de software, están mas interesadas en obtener reformas fiscales y subvenciones que en desarrollar tecnología y eso que mas de una, no son mas que revendedores de software libre (san Linux) con un lavado de cara.

La lista de la vergüenza The truffle100

Seguridad IT: The Microsoft Architecture Journal

Revista de Micro sobre arquitectura IT y afines, gratuita y en varios idiomas, eso si tenemos que registrarnos.

aqui

Seguridad IT: Sin seguridad Confidencial

A pesar del empeño demostrador por la administración en exigir aplicación escrupulosa de la OLPD, para la protección de los datos de los ciudadanos. En estos momentos nos encontramos con la ratificación y aplicación de tapadillo, de una normativa europea que permite la cesión y venta de los datos recopilados por la propia administración.

La aplicación de esta normativa ya se encuentra publicada en el BOE aqui.

En estos momentos se esta investigando a GOOGLE por la UE en referencia a la información confidencial de sus usuarios que maneja. Pero los mismos gobiernos se encargan de aplicar una normativa (rasero, moral) distinta, permitiéndose venden los datos recopilados de sus ciudadanos a empresas privadas.

Seguridad IT: Clasificación De Amenazas Web

Es bueno hablar de seguridad, y es todavía mejor saber de lo que ese habla y tener los conceptos claros de lo que es cada cosa.

Esta es una guía muy útil para todos aquellos Gerentes TecnoLles, jefecillos de proyectos y supuestas empresas IT que no saben de lo que hablan ni tienen intención de saberlo.

He tratado este tema, debido a las ultimas genialidades que he escuchado en una reciente reunión de trabajo.

La clasificación ha sido realizada por la Weappsec.org y te puedes descargar el PDF en castellano aquí.

Pd.

Personalmente yo, me la he releído. De vez en cuanto es necesario repasar los conceptos, para mantener la objetividad. Ya que después de cierta reunión, no me queda nada claro quien estaba metiendo la pata.

Seguridad IT: Ventaja Competitiva.

Como hoy estoy de un humor excelente, no voy a hablar de esas normas ISO aburridas ni de checksList de seguridad y vamos ha hablar de planteamientos básicos de organización de la seguridad y mas exactamente sobre Gestión IT con un pequeño ejemplo de ventajas competitivas, (se podría aplicar la comparación con Linux y Micro, IBM o Sun, en su pequeño conflicto por la dominación del mundo). Y como ejemplo tenemos una pequeña lectura en el blog de http://www.historiaclasica.com/2007/11/la-ventaja-competitiva-del-ejrcito.html en el cual se analiza la eficacia de las legiones romanas a través de una serie de premisas básicas.

1. Liderazgo:
2. Estrategia y objetivos:
3. Sistema de recompensas:
4. Superioridad tecnológica:
5. Formación:
6. Superioridad técnica:
7. Selección de personal:

Si analizamos estas premisas y las extrapolamos a las políticas empresariales de los grandes (Micro, IBM, Sun) resulta obvio, que aunque proyectos como Linux son muy validos, pero no dejan de carecer de la capacidad de “corredor de fondo” que se necesita para ganar una guerra, aunque se obtengan pequeñas victorias puntuales. Ya que “las guerras se ganan a través de las industrias”.

Este planteamiento se aplica también a la gestión de la seguridad IT, da igual la pequeña victoria o golpe de mano estratégico que consiga dar el hacker de turno, su esfuerzo es puntual y se basa en explotar una debilidad puntual de enemigo “las armas secretas, solo son secretas y efectivas una sola vez” así que al final, los equipos de seguridad, los planes de contingencia y los procedimientos de continuación de negocio, se impondrán sobre los sucesos puntuales y la carrera de fondo será ganada por las empresas.

El resto de sucesos y situaciones son puntuales y no presentan repercusiones graves en las líneas generales del plan de operaciones final.

Seguridad IT: Coleccion de Reglas ISO Seguridad Gratuitas

Empezaremos el dia con un poquito de cultura de libre distribución, sobre esas normas ISO que tanto nos gustan y que tanto cuestan.

Pero existe una pequeña colección de ellas que son gratuitas y que tratan sobre el tema que nos interesa. La seguridad IT.

Estos son los Freely Available Standards y se pueden descargar y revisar aquí.

De todos estos destacamos:

ISO/IEC 15408: criteria IT security.
ISO/IEC TR 15446: Guide for the production of Protection Profiles and Security Targets.
ISO/IEC 18045: Metodología para la Evaluación de la Seguridad IT
ISO/IEC 21827: Model, SSE-CMM.

Aunque podrás encontrar ISO de casi todos los temas que te interese auditar.

Seguridad IT: IT Security Essential Body Knowledge

En este documento del “Department of Homeland Security USA” nos muestra como definir en 4 áreas de actuación, la seguridad IT, atraves de las aproximaciones e implementaciones necesarias para la ejecucion de cualquier proyecto de seguridad.

Estas son:

-Diseño

-Gestion

-Implementación

-Evaluación

Todo ello “aderezado” con roles de actuación para las distintas areas de influencia y procedimientos de actuación.

Además de proponer unos roles basicos de gestion. Los cuales son extremadamente utiles a la hora de definir nuestros organigramas de mando, gestion y de responsabilidad.

Descarga aquí en PDF

Seguridad IT: Gestión de Correo Electrónico Corporativo.

Este es un tema que ya hemos tratado en este blog hace algún tiempo, con el articulo “Si lees este mail, estas cometiendo un delito!”

Pero merece la pena recordarlo, debido a la reciente sentencia del tribunal supremo sobre esta cuestión.

“El Tribunal Supremo prohíbe que la empresa acceda a su correo si no está establecido en su contrato o en un pacto específico”

“Según la ley, el registro de los efectos personales del trabajador es una medida excepcional que sólo podrá realizarse si tiene como justificación la protección del patrimonio de la empresa o de los demás trabajadores, y siempre debe hacerse en presencia de un representante sindical o, si no lo hubiese, de otro trabajador.”

En lo referente a contrato o pacto específico, se refiriere a los manuales de buenas prácticas y cláusulas de confidencialidad que se aplican o deberían de aplicarse en las distintas políticas de Seguridad IT y Gestión IT de las empresas y corporaciones.

Aunque debemos destacar que estas normas de utilización y la lectura consentida de los contenidos de los correos electrónicos, sigue estando en un limbo legal, ya que en el momento en que los contenidos de los correos, traten contenidos relacionados con afiliación política, vida personal, orientación religiosa u orientación sexual, invalida automáticamente cualquier acuerdo previo con la empresa y se consideraran de contenidos inviolables , al estar estas áreas incluidas dentro de los derechos constitucionales inviolables del individuo.

CheckList de Continuidad de negocio IT para PYMES

Publicado por capital one, en la cual describen los puntos y procedimientos a aplicar en caso de caídas catastróficas de nuestras infraestructuras. (si los procedimientos a aplicar para ese dia que nunca creiste que llegaria!)

1) Develop a business continuity / disaster recovery plan.

Donde esta ese maldito documento?

2) Alternative operational locations
Quien tiene un garaje grande?

3) Backup site.

Tenemos copia de esto? Y de esto otro? Y de todo?
4) Safeguard your property?

Acuérdate de cerrar al salir!

5) Contact information

Por quien pregunto?
6) Communications

Ese connector va al Servidor y ese otro al telefono Movil
7) Employee preparation

Quien sabe como funciona esto?
8) Customer preparation

Y los de mantenimiento saben como funciona
9) Evacuation order

Las mujereres y los niños primero
10) Cash management

Tienes algo suelto para comprar un CPD nuevo
11) Post-disaster recovery procedures

Vale! alguien tendrá que recoger y barrer todo este desastre.

Pero de una manera mas seria. Estas son las preguntas que cualquier administrador o gestor IT que se precie, debería de hacerse y revisar si las cumple.

CheckList

Gestion de Eventos de Seguridad para PYME

"Guía Metodológica para la Gestión Centralizada de Registro de Eventos de Seguridad en Pymes". Un documento de indispensable lectura el cual nos presenta las bases de una gestion y analisis de eventos de seguridad para las Pymes, asi como una primera aproximación a los requerimientos necesarios para el desarrollo de modelos mas complejos de gestion y analisis de seguridad.

Esta guia ha sido realizada por tres investigadores (Edgar Enrique Ruiz, Diana Carolina Niño Mejía y Alejandro Sierra Múnera) de la Pontificia Universidad Javeriana de Bogotá.

aqui

Cuando dos mundos chocan, IIS, Apache

Como hoy es sábado, solo un pequeño apunte. El estado de situación de IIS7 y Apache.

Unos suben otros bajan, convergencias positivas y convergencias negativas y el dia en que estas dos lineas se crucen. Internet estallara en una flame final sobre la conspiración de dominacion mundial de MicroSoft.

Aunque no lo deben de estar haciendo tan mal. Por IIS se paga y por Apache no. Asi que supongo que a nuestros amigos linuxeros les toca ponerse las pilas en uno de esos multiples arboles de desarrollo de apache que tienen y sacar una version nueva y mejorada que le plante cara a IIS. O no seran capaces?

Gartner's top 10 Strategic technologies for 2008

O lo que es lo mismo el guru de la tecnologia futura ha publicado su famoso cuadrante nostradamus de las 10 tecnologias que daran que hablar en el 2008.

1. Green IT
2. Unified Communications
3. Business Process Management
4. Metadata management
5. Virtualization
6. Mashups
7. The Web Platform
8. Computing fabric
9. Real World Web
10. Social Software

Personalmente aprecio la veracidad de los cuadrantes de Gartner como un disparo de escopeta contra un papel en blanco.

Publica mucho desarrollo de tecnología en plan guru y acierta poco (se pasaron por alto el éxito de los buscadores, los programas P2P, el éxito de las distribuciones de pago de Linux red hat y unas cuantas cositas mas) pero como este cuadrante es utilizado por las grandes empresas para generar confianza en sus productos, desarrollos y chapucillas varias, tiene mucha “validez”.

Los versos profeticos de Nostradmus tienen la misma validez, si los lees, son lo bastante ambiguos para relacionarlos con cualquier hecho pasado, y esa misma ambigüedad se puede aplicar a los hechos futuros, osea no vas a profetizar nada que no este delante de tus narices.

articulo en ingles aqui

Pd.
Saludos a nuestros amigos de:
Hewlett-Packard Company, Europe
Universidad Nacional Autonoma de Mexico, Mexico, Distrito Federal, México
Uninet S.A. de C.V., Cancún, Quintana Roo, México
Cableuropa - ONO
Consejeria de presidencia Castilla y Leon
Fomento de España
y un largo etc.

Grupo de Usuarios VMware de Iberia.

Es una oportunidad única para conocer a colegas con los que debatir las novedades de la virtualización, mejores prácticas y nuevas tecnologas. Lugar el viernes 26 de Octubre, en Centro Regus Puerta de las Naciones.

AGENDA

09:30 -	Bienvenida
10:00 -	Technology Previews: Anuncios de VMworld07 - ESX 3i - Site Recovery Manager - Virtual Desktop Manager - Storage vMotion - Continuous Availability
11:00 -	Descanso
11:30 -	Best Practices: Recomendaciones de Diseño - Almacenamiento - Networking - Backup
13:00 -	Conclusiones y Diseño de la Próxima Reunión
14:00 -	Cierre

26 de octubre 2007
9:30 - 14:00

Localizacion:
Centro Regus Puerta de las Naciones
C/ Ribera del Loira 46 Campo de las Naciones
28042 Madrid

Registro

Como Llegar

CheckList ITde INTERPOL

Una pequeña reseña, CheckList de Seguridad IT.

Asi podremos saber cuan burros somos, y que deberes no hemos hecho en nuestras infraestructuras y la gestion de la misma.

CheckList aqui

PD.

Si alguien consigue el 100% de aciertos o errores que lo postee! :)

y continuamos con una guia sobre BS25999, mas conocido como continuidad de negocio. Si! ese plan que tienes que aplicar, cuando un pedazo de un satelite chino militar a impactado de pleno en tu CPD, desintegrando los servidores,la sala de copias de seguridad y se supone que la empresa tiene que seguir funcionando.

Jeje! se supone!

By Avalutiun

Dias de reflexion, Gestion IT.

Como Internet esta muy tranquilo en estos últimos dias, y yo he estado un pelin atareado con las nuevas responsabilidades laborales (es curioso como se inventan nuevos puestos para nombrar nuevas responsabilidades) en este caso, algo asi como, Storage and Backup Administrator Cosulting (siendo la traducción acuerdo con las funciones algo como, administrador de almacenamiento y backups, et veritas confiamus) y luego lo mezclamos un poco con virtualization manager.

Y asi obtenemos un chico para todo!

Bueno, auque parezca que que estos cargos no tiene mucho que ver con la seguridad IT, o mas bien con la gestión de IT. Resulta que son unos campos magníficos para la puesta en marcha de todos esos procedimientos y protocolos de los que hemos estado hablando últimamente

Dentro del área de Backup Consultor tenemos todo un campo relacionado con las comunicaciones y la privacidad de estas. Como es esto? Que tiene que ver!, Pues de la manera mas sencilla. El flujo de información a los robots de copia y a los distintitos dispositivos de almacenaje, debe de estar sujeta a protocolos de encriptación y privacidad de acuerdo al nivel de confidencialidad de los datos a copiar.

Estas reglas también se aplican a los dispositivos de respaldo físicos que se utilizan tanto de unidades de cinta, como de las propias cintas, asi como de los arrays de storage que se utilicen.

Así tenemos que definir varias políticas y procedimientos relacionados con la catalogación del nivel de confidencialidad de los datos a copiar, como y por donde van a ser copiados (esto es redes, subredes y enrutamientos), por quien (niveles de administracion de BackUp Administrators, Backup Operators o Backup PowerUser, veritorum ets) revison de las zonas y utilización de los distintos Swichs de fibra a utilizar, la reserva de los distintos recursos de grabación involucrados, en este caso, unidades de cinta, drives y robots asignado (los dispositivos de grabacion de datos criticos deben de reservarse y catalogarse) y por ultimo la consistencia documental a aplicar en las cintas o unidades finales de almacenamiento (esto es, contabilidad, contabilidad y no mezclar con los datos de desarrollo o de marketing, etc) y lo rematamos con la aplicación de la OLDP de turno.

Concienciacion de la seguridad de la Información, Information Evangelist.

Un pequeño enlace sobre National Security Institute de EEUU y sus bases para la creación de un plan de concienciación en seguridad de la información para empresas y su aplicación practica.

Aunque el plan no es nuevo, ya que tiene su tiempo, no deja de ser una guia util para todo tipo de charlas de concienciacion y para definir las reglas generales de actuación y objetivos basicos para el desarrollo del mismo dentro de cualquier infraestructura de gestion de informacion.

Son unas 21 paginas en ingles de lectura mas que interesante.

Descarga en PFD aquí.

y para rematar una pequeña Checklist sobre SGSI (quien no sepa que es, pues GOOGLE!)

en el se habla de las cosillas de siempre, pero en checklist.

políticas de seguridad

procedimientos, estándares

directrices

recomendaciones de seguridad,

descripciones de puestos de trabajo,

componentes operativos de la organizacion y de los sistemas

registros y logs de operaciones y actividades.

etc.

Clavadito a como se trabaja en cierta empresa relacionada con el estado.

y esta aqui online,

Pd.

Esto es una Ref para esos jefecillos de ese quiosco de chupadores de tuercas que algunos conocemos.

Haber si de una vez! aprendeis algo! que no todo es cojer una subvencion y salir corriendo, que en este pais tenemos profesionales con ganas de trabajar y conocimientos para aplicar en I+D+I.

(tecnicamente me ofende como se desperdicia el dinero en determiandos proyectos basura, gestionados por mangantes IT y cobrados al estado a precio de oro. En este caso, se compra basura IT a precio de oro, unos la venden sin pudor y otros la compran con un dinero que no es suyo. En fin politica y politicos de españa)

Docs de virtualizacion de micro por un tubo

Hola! empezamos con un poco de cacharreo y nada de seguridad.

Windows Server 2008 Virtual Labs, ole, ole! un monton de trastos para probar.

Continuamos con una pequeña polemica de en el mundo Linux. Jeje! La santa inquisición del pingüino ya ha cargado tintas contra el padre fundador.

Y la situación es la siguiente. contra herejes, no importa quien se es. En este caso el insigne “Linus Torvalds “. Y es que Linus odia C++

Leer aqui

Un montonazo de información sobre virtualizacion Virtualization Cookbooks , de parte de nuestos ITs de micro!

Y eso es todo!

De Todo Un Poco

Vale, como por motivos laborales, he tenido el blog un poco olvidado (Formación en Madrid, Malaga y Barcelona.
Es curioso lo rapido que se obtienen certificaciones si las paga la empresa J VMware, Solaris, veritas, etc, jeje!) de penitencia una cuantas noticias interesantes.

Bueno Primero un poco de Arquitectura De Sistemas Y Organización De CPD y cositas similares, eso si desde el link patrocinado por Micro.

(Windows Server System Reference Architecture - WSSRA)

Continuamos con un poco de virtualizacion de Micro Windows 2003 R2 SP2 y su Nuevo System Center Virtual Machina Manager.
(todas las maquinitas virtuales que puedas tener, en la misma Consola, porras me saco la certificación de VM en Barna city y ahora Micro saca juguete nuevo :))

Aqui


Ahora Una pequeña reseña para la actualizacion de una de mis herramientas preferidas.
El pequeño Process Explorer , el cual actualizan las patadas en el columnas de NT4 TCP/IP. Cositas que pasan, o arreglan.

Process Explorer v11.02

Una noticia importante, pero no actual, Micro y Sun se unen para colaborar.
Jeje, ya puedo ir a la zona de Sun, en el CPD con mi CD de 2003 server R2, temblad.
Ahora mis 2003 correran sobre vuestros juguetes!
La dominacion mundial avanza, Sun se ha quitado la careta!
(correra mi 2003 server sobre los nuevos Niagara de Sun)

Un poco de Seguridad.
Además de cerveza y canguros nuestros amigos de Australia, publican una Guia de Seguridad IT o TIC.
(aunque ya se acepta que hablar de seguridad es un poco simple y ya se comienza ha hablar de una cosita llamada Gestion IT, en la cual englobamos cositas como, identificación infraestructuras activos, equipamientos, riesgos, evaluación de incidentes, evaluacion de amenazas y riesgos operacionales , controles técnicos, organizativos, gestion de personal y buenas practicas del mismo, gestión de incidentes de seguridad y evaluacion de los mismos, continuidad de negocio, proceso de revisión, auditorias etc.), esas cosillas que en muchos proyectos, organismos mas o menos oficiales y empresas, no parecen saber que existen. :)

dsd.gov.au


Continuamos con esa cosa que nos gustan tanto.
Las Auditorias, con una pequeña reseña de buenas practicas.
(lo de dime que tienes instalado en tu servidor, ya no vale! Por mucho que algunos se esfuercen!)

isotc.iso.org.

aquí en castellano, latino, gracias al El Instituto Latinoamericano de la Calidad

web.

Y Seguimos con un precioso Manual de Seguridad de las Tecnologías de la Información y Seguridad IT.

Un poco mas de lo mismo, pero nunca esta de mas! Solo son 400 paginas, especial para administradores de sistemas, eso si en ingles.

En este manual se habla de una cosa nueva y nunca vista, en la administración de sistemas.

Una cosa llamada PROCEDIMIENTOS y Políticas de Seguridad (y no son las que trae el Active Directory).

El susto que se van a llevar algunos!

infodev-security.net

Y eso es todo.

! Jolines lo que tarda el vuelo y lo que se aburre uno en la sala de espera del “Pratss”, tendre que pensar en instalarme un Quake!

10 razones para seguir estratégia Open Source, la estrategia del caos!

De vez en cuando uno se encuentra perlas en la red sobre los temas de open-source y la verdad es que resulta curioso, ver como se barre para casa (Linux free, Linux free!) y se habla una y otra vez de las mismas leyendas urbanas y se alaban sus supuestas cualidades magicas en la implementacion de infraestructuras y proyectos, como si fuese la receta de tonico milagroso.

Asi que aquí van unos comentarios sobre estas curiosidades que alguien se entretiene publicando en la red.

“Actualmente algunas empresas son poco partidarias de utilizar herramientas open source a la hora de realizar sus proyectos. Aquí os paso algunas razones que nos pueden animar a hacerlo, aunque claro, esto es según gustos y habrá otras razones que invaliden las que se indican.”

Bueno cuando una empresa comienza un proyecto, esta necesita un respaldo y mantenimiento en sus herramientas, asi como una continuidad en el soporte y documentación de la herramientas a utilizar. Algunas herramientas open cumplen esta premisa sin problemas (aunque detrás de ellas este alguna que otra corporación, Sun, IBM, Novell, Red Hat, etc), otras no van a ninguna parte al no actualizarse y se extingen. (nada que no sepamos)

• “Disminuir la dependencia a vendedores de código propietario: esto suele ser debido a la necesidad de actualizar la versión del producto, esperando mejoras o nuevas funcionalidades, ocasionando en algunos casos un gasto de dinero y tiempo importante. “

Esta es buena!, resulta que te obligan a actualizarte (el enanito malvado de XP)! Y las versiones nuevas, revisiones y parches de seguridad y no tan de seguridad (pifias en el codigo) no son una parte importante de un plan de continuidad de negocio ni de la explotaron y evolucion del proyecto.

• “No hay necesidad de presupuestar el coste de mantenimiento de software y de personal encargado: el gasto que suponen las licencias de software y el salario de personal conocedor de esas herramientas suele ser bastante elevado, incrementando así los costes del proyecto y repercutiendo en los beneficios. “

Bien! no me habia dado cuenta! La gente trabaja gratis, los terminales no se estropean y el mantenimiento de los sistemas y aplicaciones no es presupuéstable. Otra bonita leyenda urbana relacionada con el open source!

• “Acceso a más herramientas: se puede acceder a un casi ilimitado número de herramientas (desarrollo, testing, CMS, seguridad, ...), sin necesidad de solicitar permiso para obtenerlo debido a su coste.”

Claro! primero pagas las licencia, pruebas el sistema, y si te gusta, te lo quedas, si no, pagas otra licencia de otro producto y asi hasta que encuentras algo que te guste, después de gastar unos cuantos miles de euros

Leyenda urbana II (curioso, no han oido hablar de las versiones de evalucion y prueba)

• “Pruébalo antes de comprarlo: aunque muchas de las herramientas propietarias si ofrecen versiones Trial o gratuitas para desarrollo, sí que es imposible a veces ver cómo funciona un producto sin tener que comprarlo antes.”

Y para que el parrafo anterior, alucina, un poco de coherencia!

• “Soporte por parte de una comunidad de usuarios: esto es algo que a las empresas les suele echar para atrás, el no tener un soporte oficial. Como desarrollador puedo asegurar que normalmente el soporte lo da Google y no el soporte oficial, del cual el 90% de las veces no se utiliza.”

Magnifico, prueba a leerte el MSDN, te sorprendera! Aunque claro, C, C++, pascal, Cobol, Delphi, Net, etc, no disponen de manuales oficiales y viven de Google y sus desarrolladores no los utilizan, les mola mas google.

• “Acceso al código y la posibilidad de modificarlo según tus necesidades: algo bastante típico es tener que esperar a una nueva versión o tener que comprar una versión actualizada de un producto para conseguir una funcionalidad necesitada. Si dispones del código es posible que puedas modificarlo a tu gusto. Algo parecido hizo Google con MySQL.”

Claro! como te sobra el tiempo, te dedicas a descifrar el codigo de otros y las estructuras logicas de la aplicación (de las cuales no tienes ni puñetera idea) y lo personalizas a tu gusto, para revenderselo a tus clientes o incluirlo en tu proyecto . Toma opens Sources, o Opens Faces

• Poder de negociación con vendedores de software propietario: con esta no estoy muy conforme, pero bueno, quizás nunca se me haya el caso, como dice, de poder obtener mejores condiciones de Microsoft si tienes Ubuntu instalado en 20 ordenadores como experiencia piloto.

Sin palabras! con micro, red hat , Solaris, pagas la licencia y el mantenimiento, los parches de seguridad, etc. Esas pequeñas cosas que hacen que las oficinas no sean un nido vulnerabilidades

• “No hay exceso de características inútiles: en los proyectos open source, las nuevas funcionalidades suelen venir dadas por las necesidades de los usuarios, no por las ideas de un departamento de desarrollo o marketing. “

Has probado a no usar, lo que no quieres! Es difícil pero suele funcionar, y pedazo de leyenda urbana. Normalmente los sistemas pueden personalizarse, no tienes que instalar todo lo que no quieres, incluso dentro de micro es posible. Pero claro! Hay que saber de lo que se habla!

• “Más seguridad: algo que crea mucha controversia, pero estudios como el de Trend Micro muestra que el open source es más seguro.”

Impresionante, y IBM, SUN (perdon Java) Micro, Red Hat, Novell, perdiendo el tiempo y dinero. Supongo que este parrafo es para causar polemica!

• “Solución de errores y nuevas implementaciones con más rapidez: en algunos casos los errores se solucionan mucho antes incluso de que lo detecten los usuarios.”

Y mas de lo mismo! Cuando se descubre una vulnerabilidad, el open source la soluciona antes que las empresas. Ver para creer.

Pues eso es todo. El que quiera que opine!

System Center Virtual Machine Manager 2007

La dominacion global avanza un paso mas! las mas poderosas comunidades virtales tiemblan ante el los tambores de guerra de las legiones virtuales de Spectra.
VMware, Xen, ya no estais solos! Micro ya esta aqui y se va a quedar!

System Center Virtual Machine Manager

el Blog de Spectra Windows Virtualization Team Blog
System Center Virtual Machine Manager aqui
y como dicen en Micro !Pruebalo!
y algunas de las cositas que hace (eso dicen!).

• Centralized deployment and management of virtual machines
• Intelligent Placement analysis to determine the best servers for virtualization
• Quick physical-to-virtual and virtual-to-virtual conversion
• Ease of use with a familiar interface and seamless integration with other Microsoft products
• Faster deployments with administrator-managed self-service provisioning
• Resource efficiency with server consolidation and increased processor utilization
• Quick automation via PowerShell scripting integration

NetCraft, los Pinguinos bajan, IIS sube

Continua la tendencia a la baja de nuestros queridos pinguinos, haciendo el indio (apache), la conspiracion de micro para dominar el mundo, avanza.
parece que los chicos de apache, pierden impulso y la carrera de fondo emprendida por micro (IIS), empieza a dar sus frutos.
tambien felicitamos a nuestro pinguino favorito, ya que despues de 10 años, parece ser que ya existen mas pinguinos que windows 98.
felicidades!

Pd.
curioso, personalmente, yo no veo un 98 desde hace 5 años, pero el que no se consuela, es por que no quiere.

Auditorias, Protocolos de Terminación. Sayonara Baby!.

Todo lo que comienza, termina. Así que para toda acción, tarea, proceso, etc. iniciado dentro de un sistema se deben de aplicar los procesos análogos de terminación, finalización, conclusión, etc. Destacando, que toda la documentación relacionada con ellos es y será requerida en cualquier trabajo de auditoria serio.

Aunque el planteamiento es sencillo, el trabajo y complejidad asociados al mismo no es nada despreciable. En muchos sistemas se trata la terminación de cualquier tarea, como un “apagado” o finalización de la misma sin más procesos asociados, no exisitiendo protolos de terminacion que puedan ser auditados.

Y una de las respuestas más comunes al preguntar sobre el tema a los administradores en un auditoria es un lánguido silencio.

El ámbito de aplicación de los protocolos de terminación dentro de las IT es global y si se analiza detenidamente, el resultado, indica que su aplicación es un elemento imprescindible para la correcta gestión de cualquier proceso emprendió.

Una de las características mas destacables de estos procesos es su globalidad ya que para su aplicación, se debe de proceder a una extensa recopilación de información asi como de la modificación y actualización de cualquier proceso asociado, produciéndose en ocasiones nodos, i-nodos, n-nodos de relación y árboles de trabajo bastante complejos.

Todo esto, es la “teoría”, y si queremos añadir complejidad al asunto, podríamos aplicar reglas de “coste” a los nodos y las reducciones asociadas, pero normalmente estos procesos, acortan el “papeleo” y flujos de trabajos, pero en contra, aporta ilegibilidad a las tareas y procesos a realizar.

Y como toda “teoría” nos aporta una primera aproximación a los requerimientos que necesitaremos para aplicar.

Veamos varios ejemplos prácticos.

-BBDD

Uno de las situaciones mas típicas, dar de baja una base de datos de un entorno de explotación (contabilidad, personal, marketing, etc.). Partiríamos de la creación de una plantilla tipo asociada a la tarea, en la cual recopilaríamos toda la información relacionado con la identificación de la BBDD, luego pasaríamos a la recopilación de los datos asociados a su explotación, aplicaciones asociadas, capas de ejecución, listado de usuarios o grupos de acceso, áreas de almacenamiento (soportes ) y ejecución (unidades de computo, servidores) tipos y sensibilidad de los datos contenidos en la misma (LOPD), servicios y procesos asociados a la ejecución de la misma, aplicaciones de monitorización, seguridad y Backups! Y terminaríamos con las referencias relativas a los soportes de copia y su proceso de extinción de datos (que cintas Backup se utilizan y su proceso de extinción, borrado, destrucción o sobré escritura) y dejamos para el final lo mas importante, la firma de al menos dos responsables en la ejecución de la tarea, uno que seria el técnico, técnicos asignados y otro el responsable del Dep. Asociado.

-Hardware

Seguiríamos el mismo proceso, generación de documentos tipo, identificación del elemento, recopilación de la información operativa, servicios y procesos asociados al elemento, consideraciones relativas a la seguridad del mismo, impacto en el entorno de explotación, documentos y modificaciones operativas a actualizar o modificar , tratamiento y destino final del equipamiento destino y la constancia de los responsables involucrados en el proceso, así como la certificación de la finalización de todas las tareas iniciadas.

-Aplicaciones

Los mismos pasos y protocolos que en el ejemplo de la BBDD.

Para las Cuentas de Red, Correo Electrónico, Puesto de Trabajo lo trataremos en el proximo post, ya que en el tratamiento de estos procesos intervienen una serie de consideraciones jurididas, que deben de ser tomadas en cuenta.

Disastrer Recovery Vmware White Papers

Continuando con el artículo anterior, hoy nos toca una pequeña guia de continuidad de negocio con las recomendaciones de VMware sobre Backups, Restore y Disaster Recovery.

Esta en ingles, pero nos muestra de una manera clara, los procedimientos basicos y los planteamientos a utilizar para planificar nuestras operaciones de recuperación de operatividad, (sistemas arriba) ante esas situaciones que nunca ocurren.

http://www.vmware.com/pdf/esx_backup_wp.pdf

El único problema es que la forma de backup que nos muestra es sobre los discos virtuales, asi que solo podremos aplicar estas politicas sobre una parte de nuestro plan de continuidad de negocio. El como hacer para copiar y salvaguardar datos y aplicaciones tendremos que esperar un poquito, haber que se les ocurre. Mientras tanto seguiremos con nuestro querido NetBackup.

Backupss Virtuales, Vmware, R5, NetBakup

Ahora que todo el mundo se ha apuntado a virtualizacion. Se virtualiza todo! empresas, CPDs, servidores, aplicaciones, proyectos, trabajos, nominas, cargos, personal, etc.

Je je!

Nos asalta una pequeña duda, vale! y ahora como hacemos las copias de seguridad nuestros queridos Backuuuups! de los, datos, aplicaciones que hemos virtualizado?.

Una vez que hemos instalado VMware o Micro R2, nos damos cuenta que en las maquinas virtuales no podemos asignares ningún dispositivo de copia o cinta, ya que es un virtual_hardware que no es soportado. Así que, como hacemos nuestras copias de seguridad?

Bueno, nuestros amigos de Spectra (Micro) acaban de publicar una pequeña guía para solucionar en parte este problema. Pero como buena Spectra y siguiendo en su afan por dominar el mundo, solo publican la guía para R2 (no son tan tontos para solucionarles la papeleta de las copias de seguridad a VM o Xen).

Asi que una pequeña recopilación de whitepapers de Spectra con las recomendaciones de continuidad de negocio y backups de seguridad!

Protecting Virtualized Environments with System Center Data Protection Manager 2007

Y una pequeña aclaracion de lo que hace y como lo hace, utilizando

System Center Data Protection Manager 2007

mas conocido como DPM 2007 (cuidado con las analogías).

Pero si tenemos a VMware vitrualizando, como lo hacemos? como seguimos con eso de la continuidad de negocio y la generación de copias de seguridad.

Vale! nuestros amigos de Veritas, disponen de dos juguetes, Backup Exec y NetBackup,

Backup Exec

Es el primero, es el baratito y dentro de la configuración nos aporta una preciosa opción de realizar las copias no a soporte físico, sino a un fichero y este se puede ser apuntado a una unidad de red (así que el servidor de esa unidad dispondrá de las librerías de copia y sera el encargado de realizar las mismas) pros y contras?

Pros.

Pues que bien ya podemos hacer copias!

Contras.

Mucha capa intermedia, script de limpieza y dependencia del perfecto estado y acceso a las unidades de red, por parte de las maquinas virtuales, amen! del enorme gasto de espacio en disco requerido, si tenemos una infraestructura medianamente decente.

En caso de sistemas de virtual arrays, ya nos podemos olvidar de este sistema.

Net BackUp

La version cara y compleja. Pero la que mas posibilidades aporta.

Si utilizamos su versión de media libreri, nos proporciona un servidor central de librerías que es el que se encarga de las copias y los demás clientes, virtuales o físicos se conectan a media y le envían su plan de copia.

Pros.

Se hacen las copias, sin importa el numero de clientes, gestión centralizada, consola de control única o con permisos, completo control de las acciones de backup y restauración, planificación de ventanas de copia según la prioridad de los clientes, etc, etc.

Contras.

La consola es una pesadilla (miles de opciones), problemas de conexión de los clientes al media (conexiones pilladas), mucha licencias, media, clientes, consumo de ancho de banda entre clientes y medias, algun que otro cuelge, etc.

Pero bueno eso es lo que tenemos y lo bueno es que nos permite “salvar” la situación de una manera elegante.

Políticas de confidencialidad en las ITLo que es confidencial y como hacer que lo sea!

Aprovechando que el tema del robo de información esta de moda, gracias a los últimos acontecimientos en la formula 1 entre dos famosas escuderías y ante la recurrencia del “temita” en las cenas veraniegas, sobre “cómo es posible que con tanto dinero en los boxes se pueda robar información (si a los gobiernos les roban planos de armas nucleares, el robo de un plano de un F1, esta chupado!)”. Vamos a tratar una pequeña introducción de cómo esta el tema de la gestión de la confidencialidad dentro de las empresas.

Bueno! Para comenzar, destacamos, que si existe una cosa cierta, es que las empresas no tienen, para nada claro lo que es la gestiona de información confidencial (datos, documentos, etc.) y que se escuchan y aplican políticas de confidencialidad mas cercas a leyendas urbanas (o de Internet), que a una realidad jurídica practica. Pero esto es España!, así que no debemos sorprendernos.

Muchas empresas parten de planteamientos de aplicación de la confidencialidad completamente errónea, ya que confunden la aplicación de la LOPD (en estos momentos de obligado cumplimiento) con un contrato de confidencialidad sobre todos los contenidos y documentos de la empresa (apreciación bastante grave!).

Así, cuando un nuevo empleado entra en una empresa, se le suele hacer firmar uno o dos documentos tipo (normalmente descargados de Internet sin leerlos) . Uno sobre la propia LOPD, si el empleado en cuestión va trabajar con información “sensible” listados de clientes, nominas, afiliaciones, etc y un segundo documento en el cual se autoriza a la propia empresa al tratamiento de los datos confidenciales del propio empleado (la nomina, afiliación sindical, etc.), también destacamos en al algunas caso las empresas ni siquiera se molestan en entregan las copias numeradas y conformadas de aceptación mutua (una copia para la empresa, una para el empleado y en caso de necesidad, una tercera para registrar en el organismo pertinente), incurriendo automáticamente en “mala fe” con los problemas que esto les supone en caso de la necesidad de realizar acciones jurídicas posteriores.

La verdad es que las empresas aplican estos documentos como las aspirinas “que una, vale, para todo” y también presuponen que estos conceptos se aplican a todo el ámbito documental de la empresa.

Bueno, pues esa no es la realidad, esos documentos sirven para lo que sirven y nada mas, son solo para la LOPD.

Para la gestión de la confidencialidad, las empresas deben a aplicar un concepto completamente distinto.

Se parte de definir un documento tipo, más cercano a la cesión de información y colaboración entre empresas con intercambio de tecnologías o conocimientos que al pobre planteamiento anterior.

Un ejemplo Aquí

como se puede apreciar, los acuerdos de confidencialidad que se suelen aplicar, poco tienen que ver con las consideraciones anteriores, ya que no se esta tratando información, sino tecnología y conocimientos y su gestión es completamente distinta.

Una vez descritos los ámbitos de aplicación, las empresas deben de proceder a una gestión correcta y responsable de sus conocimientos y esto se demuestra a través de la creación y aplicaron de protocolos de actuación sobre sus conocimientos, tecnologías y sobre los documentos que los van a contener.

Esto es.

Partiendo de lo más básico, el propio documento, consistiría en definir plantillas documentales tipo, en las cuales se indica el nivel de confidencialidad del contenido del mismo y su tratamiento.

Una vez definido el contenedor de la información, en este caso el documento, se deben definir todos los procesos asociados al mismo.

Muchas organizaciones aplican la políticas generales, definiendo por sistema todos y cada uno de los documentos generados por los Dep. Clave como confidenciales. Este es un planteamiento “cómodo” pero poco efectivo ya que los documentos iniciales, revisiones y correcciones posteriores deben de ser conservados en su totalidad, con lo que la cantidad de documentos a manejar es ingente y se pierde el control sobre los mismos con facilidad, debido a su rapido incremento.

Una segunda aproximación, y es esta la más correcta, parte del desarrollo real de un plan de gestión de seguridad documental, en el cual se definirán los siguientes puntos a cumplir:

-Generación de Plantillas tipo, asociadas a los distintos niveles de confidencialidad las cuales informaran del nivel del documento y su tratamiento.

-Tipo y estado de los documentos, indicando la categorización de los mismos y su estado actual en los procesos asociados.

-Políticas de nivel de acceso por parte del personal, departamentos, así como las acciones que los mismos pueden realizar sobre los procesos relacionados, (modificaciones, revisiones, revocaciones, etc).

-Zonas y protocolos de almacenamiento, unidades de red, almacenes de datos, etc, así como las políticas de seguridad asociadas (log de control de actividad, etc).

-Procesos de gestión y ordenación asignados, inclusión, exclusión de los distintos documentos, dentro de índices de procesos, documentales, etc.

- Procesos de copia de seguridad, integración dentro de los planes de copia de seguridad y salvaguarda, integridad referencial de los soportes a utilizar y de los datos a almacenar.

-Políticas de Acceso físico a los soportes, salvaguarda de los mismos y planes y procesos de contingencia y seguridad asociada a los mismos.

Ósea en pocas palabras, lo que muy pocas empresas utilizan o gestionan. Aunque existen excepciones, ya que todos estos procedimientos se aplican de manera rutinaria dentro las empresas de ámbito bancario o de determinadas corporaciones.

Y como final

Bye, Bye Sun, hola Java!

Un gigante cambia de nombre.

Lo que hay que ver! o leer

En este bonito dia de verano, me ha llegado esta bonita notica publicada en el theinquirer.

IBM se Ahorra 250 Millones gracias a Linux

Y como toda noticia en la que se menciona la palabra Linux, parece un poquitin partidista (partidista linux) y como no! Cuanto menos cahonda!.

El ella se habla de la migración a Linux de varios cientos de servidores por parte de IBM y el consiguiente ahorro para sus clientes, la utilización de tecnología de virtualizacion y una apuesta clara por el Open Source (de IBM?) por parte de los chicos de azul. Bueno si se ha trabajo algo con IBM, una de las cosas que te queda claro es que son una multinacional y su función es ganar dinero (el tuyo), así que lo de Linux, ejem! Serán nuestros amigos de Red Hat, en sus versiones Entreprise, en lo referente a la virtualizacion, no creo que utilicen nada liberado (ellos ya tienen su propio software propietario de virtualizacion) y lo que si es una buena noticia, es que se ahorrara energía en los CPDs (ya que las nuevas arquitecturas sobre blade, tienen unos consumos energéticos y térmicos espectaculares, eso si bajo premisa de migracion a sus sistemas de virtualizacion).

Así que el marcador final es, Open Source 0, Linux 0 y Big Green 1.

PD.

No creerse todo lo que se dice o se lee en internet.

Aparte de tonto, !Juanker!

El otro día, con los compis de trabajo mientras nos relajábamos en la cafetería, y hablábamos de lo de siempre, ordenadores, bichines viruses malos y timbas al DoD y al EvE online (no nada de warcraft!).
Pillamos la conversación de dos de los genios con corbata y bastón de mando que suelen pulular por las empresas. Si! esos que cuestan una pasta en nominas y en decisiones (cada decisión que toman si que cuesta un buen pico, por la metedura de pata que suele ser ). Pues una de las corbatas le comentaba a otra que había “descubierto” un bug en la instalación de Windows. Humm! Un bug! Estos tios son capaces de instalarse un XPs ellos solitos! Así que nos callamos todos y pusimos la parabólica. Haber si aprendíamos algo interesante!
Así que repitiendo, corbata 1 le decía a corbata 2 , “que he pillado un bug de instalación” y corbata 2 le respondía “jo macho, como mola, y como es? Por que podrías repórtalo” .
Corbata 1 “si pero, no!, por que lo leí el otro día en una pagina de hackers, creo que se llamaba algo como hackers09 o hacks09. Esta muy bien, esos tíos hacen de todo.”
Bueno! Vale! Se descubrió el pastel, lo busco en Google, lo copio de una web de hakers malos y lo pruebo en casita o con el portátil de la empresa.
De esta conversacion deducimos dos cosas! Deberían prohibir Google, es tan eficaz y sencillo que cualquier tonto encuentra lo que quiere aunque no lo busque.
Y la segunda, que cualquier tonto con Google y en una empresa lo suficientemente grande se puede tirar el pegote de que guai y malo malote soy con un guia burros y el copia y pega del IE7.
Como dice nuestro querido mentor en seguridad “no es lo bueno que tu seas, es lo inútiles que sean los demás” y siendo mas finos! Y en un leguaje para corbatas “lo difícil es hacer las cosas bien en tu trabajo, a la primera!”
Lo mas positivo de este tema, es que no me va a faltar trabajo a corto plazo.