martes, 26 de junio de 2007

Un mal Dia! eso que tus jefes te suelen dar!

Bueno, tras el refrito de ayer, las cosas en el curro vuelven a la “anormalidad”.

“Anormalidad” porque es el estado natural al que tiende algunos proyectos de tecnología en los cuales se utiliza la informática. Pobre de mí! pensaba que el verano y las jornadas más tranquilas, menos trabajo, el solecillo, etc., nos permitirían desconectar un poco de las inutilidades de nuestros queridos jefes. JeJe! Que iluso, lo más curioso acerca de los temas sobre las inutilidades, es que! da igual que época del año sea. Que la carga de genialidades es siempre la misma. Incluso con la mitad de los geniecillos que toman las decisiones desastre de vacaciones, el que se queda es capaz de generar la misma cantidad de errores o de liarla con la misma soltura, que con la plantilla de dirección TecnicoLess al completo.

Lo cual me genera una pregunta. Si tres jefes TecnicoLess genera X chapuzas a la semana, como es que, uno solo, es capaz de genera la misma cantidad de meteduras de pata.

La ecuación debería de ser de al menos y con un cálculo optimista de la mitad de meteduras.

Asi que la conclusión lógica seria que con 1/3 de personal destinado a destrozar proyectos se obtienen los mismos resultados chapuceros, que con la plantilla de dirección al completo.

Bueno tras una reflexión sobre el curro “anormal” o puede que el trabajo no sea “anormal” sino que los que son “anormales” son los que lo dirigen. :)

Bueno unos links.

Desde el nido del águila de los Linuxeros, un post de sobre micro, (se les habrá pasado)

Aqui


Un enlace sobre virtualizacion con VMware y la creación de VMware Iberica grupo de trabajo.

Aqui


Y otro enlace sobre la virtualizacion de micro sobre R5 con datos sobre un calculador de cuantos R5 puedes meter en un server.

Aqui

lunes, 25 de junio de 2007

Un refrito!

Como hoy es lunes y estamos oficialmente en verano y de fiestas, solo unos cuantos post (refritos) interesantes.

Empezamos con el “Informático en el lado del mal”.
Y la patética vida de los proyectos IT y de los que toman decisiones en los mismos!
Aqui

Continuamos con el peligroso nido de Linuxeros de la la Ciudad de los (Krispis?)
Sobre la seguridad en las maquinas virtualizadas, lo curioso es que no hace el comentario de “en Linux no pasaria eso” por que si le pasa! (se le habrá colado la noticia?)
Aqui


y la dirección de Sans que nos comenta como le pasa a Linux y Windows!
Esta mola mas Aqui!


Y el punto final algo sin interes pero que muestra lo divertido que es tener una empresa de seguridad IT en España y pertenecer a una asociación de Gurus TecnoLess (ASIMELEC) tendran algo que ver con el tema de la Web del congreso?.
Aqui

los comentarios no tiene desperdicio.
(que sabor de Linux sera ““vino español salpicado de productos de León”) esa distro, no la tengo.
(Estos Gurus, suponen que marcan el futuro de la IT en España?, o eso se creen! Lo dicho sin desperdicio)

lunes, 18 de junio de 2007

Days-of-Risk (algo que no tiene la versiones gratuitas)

Hoy solo una nota, para puntualizar el anterior post sobre confianza entre Linux y Windows en ambientes de explotación y confianza empresarial, ya que son las empresas las que pagan, y asumen los riesgos (aunque se puede extender a otros sistemas operativos).
Así que con esas cosas que tampoco les gustan a determinados usuarios de S.O. ya que parece que tienen problemas con la interpretación de datos estadísticos que no les benefician.
Mostramos unos bonitos gráficos de colores fáciles de entender y unos post sobre el tema para que lean, eso si en ingles. No tendrán dificultad, ya que las principales distribuciones y documentación disponible de Linux están en ese idioma. Asi que el post.
Y los colorines
(Lamentamos que no se dispongan de datos sobre las distintas versiones gratuitas de determinados S.O. suponemos que no se contemplan ya que se suponen libres y mas seguras que los desarrollos realizados por empresas)










Naturalmente esto es un estudio independiente, y nadie está obligado a estar de acuerdo con la interpretación de los datos ni con su aplicación.
Esto es la democracia global. Opina lo que quieras, te lo creas o no!












jueves, 14 de junio de 2007

Linux Vs Windows ¿Cuestion de Confianza?

Esta es una de las reflexiones que todo administrador se plantea!
¿Que es mejor, si tengo que montar un sistema de explotación? Linux o Windows! ¿en quien debe depositar la empresa su confianza?.
Aparte de las leyendas urbanas que todos conocemos, Linux es gratuito, Linux es seguro, Linux no tiene virus, Linux es compatible en todos sus sabores (compatible? En todos sus sabores, ejem, esto como que no!).
Y luego tenemos a Microsoft, somos una multinacional, dominamos el mundo, si recitas un numero de registro de XP al revés, se escucha el numero de la bestia, etc. Pero siendo prácticos. Si puedo montar toda mis sistemas con Linux siendo este gratuito proporcionándome todo lo que necesito, estaciones de trabajo, servidores de ficheros, servidores de correo, web, bases de datos, etc. Como es que Linux no domina el mundo de la informática. ¿Le gusta a la gente pagar por las cosas, pudiendo tenerlo gratis? ¿Les sobra el dinero a las empresas para regalárselo a Micro? Uno de los factores de esta situación es quizás, la confianza!.
Las empresas necesitan a otras empresas en las cuales depositar su confianza, sentir que existe alguien tangible detrás esta es una premisa que no se puede cumplir Linux (seguro que me arrepiento de haber dicho esto). Aunque es esta situación esta cambiando, ya que algunas empresas se han dado cuenta de esta situación y han apostado por sus distribuciones. eso si de pago!. Asi nos encontramos de red hat, oracle, etc.
Las cuales partiendo del núcleo de Linux, añaden el elemento que le hacia falta para hacerlo atractivo a las empresas. Un nombre detrás del producto del cual se responsabilizan. Aunque parezca un poco simple, esta es una premisa indiscutible dentro de los negocios.
No se invierte capital en un proyecto detrás del cual no existe un responsable físico, ósea alguien que cargue con las culpas en caso de fracaso o de sensación de continuidad. Y volvemos a anterior punto, Linux es gratuito y si lo instalas y se rompe, no es responsabilidad suya, aunque con Micro pasa algo parecido, pero siempre puedes llamar a soporte de Microsoft y con Linux revisar Google. Jeje, pero esta situación no es aceptable cuando se la explicas jefazos del consejo de administración. Dentro de Linux, y pido perdón por lo siguiente, parece que existe el sentimiento de rebeldía, antisistemas Linux, se libre con Linux, Linux anarquista. Y dentro de todo esto, algún taliban linuxero (me la voy a cargar), micro es malo, micro te espia, Linux es mejor que micro (si por la consola, jeje), linux lo tiene todo y es gratis. Lo cual no deja de ser repetitivo, ya que dentro de la evolución de la tecnología los desarrollos mas rápidos de software se están produciendo en Windows y en Mac. Y lamentablemente Linux se queda atrás, pero! He de reconocer que Linux es un vivero de ideas y nuevos conceptos, pero también lo es Mac y Win. Y asi podriamos continuar, pero como el mejor ejemplo es la realidad, el futuro de Linux y Windows esta claro y es la coexistencia en los CPD, que es como esta en estos momentos. Juntitos y revueltos.

miércoles, 13 de junio de 2007

Grupo de usuarios de VMware en España

Desde el blog de Be virtual, My friend, especializado en tecnologías de la virtualizacion. Esa cosa de meter varias S.O. en un mismo servidor y hacer que funcionen, (ahora los pantallazos son virtuales y se instalan maquinas desde discos virtuales).
Se trata de poner en marcha el grupo de usuarios de VMware, (vale, VM, es de pago, pero asi, siempre podremos echar la culpa a los chicos de soporte) y nos comenta “VMware tiene la intención de formar un Grupo de Usuarios de VMware en España, que permita, siguiendo la filosofía de otros Grupos de Usuarios, el intercambio de conocimientos y experiencia entre todos los usuarios de Productos VMware en nuestro país.” Asi que el que este interesado que se apunte. Toda la información en Be virtual, My friend.

P.D.
Micro ya a liberado Virtual Server 2005 R2 SP1 ya disponible con la descarga aqui (con registro ofcourse).
No soporta cosas tan chulas como VM pero estan bien distintos puntos de ¿Vista? :)
las modificaciones aqui.



Virtualizate!

martes, 12 de junio de 2007

Jornada de Sensibilización en Seguridad Informática para la PYME en Cámara de Comercio de Oviedo (Asturias)

Reportan las balizas de seguimiento de la Red (chicos tenéis mucho tiempo libre), que en la cámara de comercio de Oviedo se va a producir un evento de sobre seguridad IT.

Algo así como “Jornada de sensibilización en seguridad informática para PYME” .Tras la búsqueda de algo de información en la red, descubrimos que están organizadas por el INTECO (Instituto de Tecnologías de la Comunicación) y por algo llamado "Centro Demostrador de Seguridad para la Pyme", y englobado todo dentro del plan Avanza.

Bueno pues los links son estos

INTECO

Centro Demostrador de Seguridad para la Pyme


Nota de Europapress

No hemos encontrado en la web del INTECO, centro demostrador se seguridad, la información actualizada de las jornadas, la agenda se encuentra desfasada, ni mucha información sobre quienes son, quien lo dirige o lo que hacen.

Tampoco aparece quienes son los ponentes?

Pero! tras contactar con una de nuestras balizas de Astorga, nos hemos enterado de que se realizo una demostracion en vivo , como actúan distintos virus? O herramientas de Juankers?, con las cuales

Se procedió al robo de información de un portátil, asi como de la obtención de las contraseñas de Windows, con una llave USB.

Tenemos una referencia a la posible herramienta que se utilizo aquí.

y nos llama la atención la que para la que funcione, se debe de utilizar el usuario y contraseña de Administrador del S.O.

Bueno, si se tiene el usuario de Administración del S.O. no parece especialmente difícil robar cualquier tipo de información (Xcopy c:\*.* g:\) Je,Je.

Asi como la obtención de la contraseña de administrador del sistema. ¿Curioso ya que disponían de la cuenta de administrador, para que quieren robar algo que conocen?

Aunque es de todos conocido que el fichero de SAM de Microsoft esta comprometido en su encriptación MD5 hace unos tres o cuatro años, en ataques por fuerza bruta.

Parece ser que las jornadas están preparadas para ser “ligeritas de contenidos” nada al nivel de codecamp o las jornadas de S21SEC.

Conclusión para ir a pasar el rato, pegarse unas risas (Se suelen ver cosas un poco ridiculas e infantiles en estos eventos, mucha leyenda hurbana sobre seguridad) y ver si cae algún boli o regalito chulo, del tipo de los que dan los laboratorios farmacéuticos de promoción en sus charlas (¿Pingüinitos de Linux en goma, ventanitas de Windows de caramelo?).

viernes, 8 de junio de 2007

Pike entre "Operador en el Lado Sombrio" y la "Ciudad de los Krispis"

Hoy solo un comentario, que es viernes y el finde esta aquí! ósea que tego que acabar todo lo que no he hecho durante la semana.

Bonito pique entre “Operador en el Lado Sombrío" y la "Ciudad de los Krispis”

Informatico lado del mal

http://elladodelmal.blogspot.com/2007/06/blind-comment-injection-en-la-ciudad-de.html

y

http://www.kriptopolis.org/microsoft-gana-en-malware-tambien-en-servidores

Aunque debo de darle la razon a "informatico lado del mal" y Spectra. En Kriptopolis son un poco Talibanes Linuxeros.

Censurar comentarios suele ser una práctica, un poco patética para defender una posición.

Asi que, Aupa! Spectra!

Pd.

Si todo es gratis y mejor, la gente paga porque le sobra el dinero?

miércoles, 6 de junio de 2007

Virtualizate my Friend

La nueva revolucion en la gestion de sistemas IT.

Con la liberalización gratuita de las nuevas versiones del software de virtualizacion, Microsoft R5, Vwmare Server, Xen , la gestión y organización de las áreas de negocios y explotación IT a sufrido una nueva revolución. No es que antes no existieses soluciones que permitiesen la virtualizacion de multiples S.O. sobre una misma maquina, Sun e IBM tienen sistemas en plantilla desde hace muchos años, pero la aparición de los nuevos procesadores multinucleo, asi como el constante aumento de la cantidad de memoria montada en los servidores, y la espectacular mejora en los sistemas de almacenamiento masivo , HP Enterprise Virtual Array, EMC2 , IBM RAMAC Virtual Array , aunque soluciones mas modestas son iguales de eficaces sistemas, NAS, SAM.
. Han permitido una nueva concepción de los Centros de Procesos de Datos, aunque mas que una nueva concepción deberíamos hablar de la siguiente evolución lógica de los mismos, al permitir virtualizar y a su vez maximizar el rendimiento de las infraestructuras existentes, tanto de red como de servidores, a través de estas nuevas herramientas.

Ya no es necesario tener un servidor para cada función, servidores de autentificación, FTP, WEB, DNS, etc . Si realizamos una monitorización del porcentaje de utilización de este tipo de servidores (existen excepciones!) comprobaremos, que la utilización de la CPU, no suele exceder una media de 30 % de utilización, lo que representa que los servidores, se pasan la mayor parte del año inactivos, conectados y consumiendo energia.

Así,con la nueva generación de sistemas de virtualizacion, se nos permite controlar las cargas de CPU máximas por maquina virtual, Utilización de la memoria , virtualizacion por hardware (Xen) y unas cuantas operaciones mas (secuencias de arrancado, correr scripts unificados, ampliación del hardware virtual, etc).

Aunque la verdadera potencia y capacidad de la virtualizacion de sistemas se muestra con las arquitecturas que incorporan soluciones de almacenamiento masivo, integrados en raids en chasis de servidores del tipo Blade. Estos permiten una gestión y acceso unificada, con consiguiente reducción de costes (salio el vil metal!), al permitir sistemas de redundancia unificada, ampliaciones de recursos en los servidores de manera virtual (principalmente almacenamiento disco, red, memoria y CPU), así como simular estructuras complejas, cluster de servidores, granjas de explotación de aplicaciones, sin la necesidad de ocupar fila tras fila de racks, invertir en cableado y sistemas de manteniendo de CDP , aire acondicionado, sistemas de extinción, eliminado a traves de la maximización de los recursos, toda esta inversion derivada de la necesidad de ampliar en superficie los centros de explotacion de datos. Para la correcta gestion de estos nuevos CPD virtuales, todos los fabricantes han desarrollado varias consolas que permiten la gestion de sus sistemas virtuales, Microsoft para su R5 esta desarrollando System Center Virtual Machine Manager 2ºbeta ya publicada, VMWare con VMWare Virtual Center y para Xen tambien dispone de una suit desarrollada por terceros.

Estas suits permiten la completa gestión de mas infraestructuras virtuales, creación de servidores, copia, modificación, administración, redundancia, todo con lo que un administrador ha soñado, y a solo un clic de distancia.

Así , la forma y concepción que teníamos de los Centro de Procesos de Datos, cambia hacia una nueva forma de diseño, cientos de maquinas virtuales, corriendo en solo unos pocos servidores.

Este planteamiento no es nada nuevo, pero la diferencia en este momento es el acceso a estas tecnologías a un coste reducido.


Nota: Existen mas sistemas de virtualizacion que no hemos comentado, como VirtualBox (Linux, Linux) pero, como si algo no funciona correctamente, tenemos que echarle la culpa a alguien y queda muy feo decir que no va porque es gratuito y eso no suele gustar a los jefes, solo mencionamos a los que disponen de soporte, al que recurir y culpar.

martes, 5 de junio de 2007

VAQUEROS DE RED
Administrators y SisAdmins

Hoy vamos a dar un repaso a un curioso tipo de espécimen de la red corporativa.

Este se engloba dentro de la familia de "Administrators o SysAdmis" y los llamaremos "Los vaquero de Red". Todos los hemos visto o tratado con ellos."Hola colega que tal! Tío los usuarios, me tocan las pelotas" son los reyes del sistema, los mas malos, malotes del lugar y su función es mantener a la manada de usuarios en su sitio, tranquilitos y sin molestar; "o te dejo sin conexión a Internet y te quito el busca minas".

Estos elementos gestiona su red como el alguacil de un pueblo del viejo Oeste, imponen su Ley, a golpe de ratón y de usuario "administrador" de dominio.

Controla las cuentas de correo, las aplicaciones de red y no permite ningún virus malo, malote en la ciudad y si aparece un hacker, "tiembla por que el sheriff de este pueblo soy yo y vas a acabar en la papelera de reciclaje , mas rápido que un clic sobre un enlace porno!"

Pues Vale!, muy bonito, que listo! es nuestro "Administrator, su , Sysadmin", pero la gestión de la seguridad y los sistemas no es así, ni se aproxima! por muy bonito y romántico que parezca, los hackers de camiseta de kill 9 y los virus "viernes 13" ya pasaron a la historia.

El administrador, no es el amo del lugar, ni el más listo. La gestión de una moderna infraestructura IT y de los sistemas asignados, es algo más compleja; Que montar un servidor de actualizaciones SUS y dejar que los clientes Windows se parcheen automáticamente, o entretenerse colgando las actualizaciones del antivirus. Si tengo el antivirus actualizado no entran virus malos, malotes!, y has visto mi nuevo bakup? no pasa nada de nada, ni siquiera yo se manejarlo, pero como costo una pasta, seguro que lo tuesta todo!, hackers malos, malotes, fuera de la ciudad.

La nueva gestión IT, es un sistema complejo, lleno de problemas y se asemeja más a una campaña militar moderna, que al general Custer cargando colina abajo contra 5000 sioux.

Las nuevas áreas seguras de explotación IT, necesitan entornos seguros, controlados y parametrizados, los días del “abre el puerto 43 en el firewall” ya se ha terminado.

Se gestionan miles de euros en equipos e inversiones, el plan de negocio de la empresa recae en la correcta explotación y gestión de sus sistemas y de la capacidad de reacción de los equipos técnicos, en la administración y mantenimiento de los mismos, aun en caso de desastre, caídas físicas o lógicas del sistema etc..

Así los nuevos retos, se centran en el control y monitorización del campo de operaciones, la gestión de las comunicaciones, servidores, usuarios, explotación de aplicaciones, control de infraestructuras, respuestas ante amenazas. Y todo eso, solo le logra con una correcta organización de los servicios, documentación, planificación y formación de equipos eficaces de operaciones.

En resumidas cuentas, de todo lo que en estos momentos carecen las empresas, o no se ve una necesidad real de invertir en estas areas.

Ya que los vaqueros de red, siguen campando a sus anchas.

lunes, 4 de junio de 2007

Curso de Gestión IT para Gerentes Tecno-Less

Bueno, después de unos cuantos post de calentamiento, empezamos con
una serie de artículos sobre gestión IT, bajo el titulo de :

Curso de Gestión IT para Gerentes Tecno-Less

y aunque el nombre es un poco largo, muestra la esencia de nuestro
blog, Sin Seguridad IT, donde el problema no es la seguridad IT, sino
quienes la gestionan!

y para empezar aquí tenemos el primer capitulo:

Curso de Gestión IT para Gerentes Tecno-Less

1.1 Elección del Proyecto IT
Esta tarea la realiza la empresa matriz y no es importarte en este articulo.

1.2 La Selección del Personal.
La selección de personal es un punto muy importante en cualquier proyecto que se precie.
Toda selección parte por la publicación por parte de RRHH, (como mola la palabra) de un anuncio, en prensa escrita o internet pidiendo la futura carne de cañón.
Una vez que los currículo comiencen a llegar, se debe de realiar una primera selección, todos los que trabajan en empresas grandes y reconocidas, conocimientos, experiencia profesional, etc.
Una vez impresos todos estos currículo y guardados en una preciosa carpetita, pasamos a enviar a nuestro sonriente comercial a la empresa que licita el proyecto, y les mostramos el magnifico equipo de profesionales del que disponemos.
(y aunque parezca que me he saltado alguna fase, no! no me he saltado
ninguna.
El que no se haya contratado a nadie todavía, es un detalle sin importancia!)
Y así la empresa, impresionada por el capital humano, nos asigna sin dudarlo la ejecución del proyecto.
Ahora que ya tenemos un proyecto, debemos pensar en quien lo dirigirá, quien lleve las riendas debería de ser una persona importante con un cargo de nombre impresionante, como es esto? ¡Ya! Necesitamos un Gerente de Proyecto.
Y como se consigue reclutar un Gerente de Proyecto, pues de la manera clásica, tirando de amigotes más o menos inútiles, mariditos conocidos de la mujercita o exliges de la querida, etc.
Pero con la salvedad de que tiene que tener experiencia en dirección de equipos, que tipo de equipos? da igual! podrían ser equipos de bolos o de petanca, o pastor de borregos, el caso es que sean grupos de mas de tres entidades, humanas o animales!
Una cualidad que seria interesante, seria que conociese el entorno de trabajo, en este caso los proyectos IT, pero si lo desconoce, no pasa nada. Con saber dirigir Equipos, vale!, eso si le tiene que quedar bien el traje y la corbata y saber decir a todo que si, sea lo que sea! el cliente paga y no se le puede defraudar.

Y ya esta, ya tenemos nuestro perfecto gerente de proyecto.

Mañana la continuaremos el proceso de selección del SubJefecillo de proyecto.

Si lees este mail, estas cometiendo un delito!

Aunque pueda parecer un poco excesivo, el leer los correos de los usuarios de una empresa es una práctica muy común que realizan muchos supuestos “administradores” de sistemas.

Los denominamos “supuestos administradores”, ya que un verdadero administrador de sistemas IT, tiene muy claro cuales son las practicas correctas que se deben seguir en las política de gestión de los correos corporativos.

Algo que muchos de estos Admins de Corpo-Red, dan por supuesto es que el contenido de la red que gestionan es suyo y que como responsables de la seguridad de la misma, esta justificado que, deben de leer los correos de los usuarios en busca de hackers, espionaje industrial, fugas de información, empleados descontentos y cotilleos corporativos.

Pues bien, el problema, radica en que si la empresa no ha informado a los empleados a través del plan de buenas practicas del uso de los recursos corporativos, en el cual se informa de que se va ha proceder a la monitorización del contenidos de las comunicaciones, corporativas, en este caso el correo electrónico; y que normalmente no lo hacen!. La empresa o en este caso el administrador esta cometiendo un delito tipificado en el código penal. Un detalle que deben de tener en cuenta, los administradores, radica en que aunque dispusiesen de una autorización por escrito de sus superiores corporativos (que no la va a tener, ya que se autoinculparía automáticamente en un delito penal, y no suelen ser tan tontos), ordenándoles la revisión de los mail de la empresa, este hecho al código penal no le importa, ya que es la persona física, en esta caso, el administrador es el responsable final, con todas sus consecuencias jurídicas.

Este es uno de esos ejemplos de toma de decisiones desastrosas que afectan a la seguridad y gestión de las empresas IT. Desastrosa, ya que muestra un desconocimiento de la legislación mas básica y peligrosas ya que las consecuencias económicas en forma de sanciones a la empresa supone un coste añadido a la mala gestión IT de la misma.

Aquí tenemos una reseña, extraído de un artículo del País.

“El Tribunal Supremo prohíbe que la empresa acceda a su correo si no está establecido en su contrato o en un pacto específico.”

“La interceptación del correo electrónico constituye un hecho tipificado en nuestro Código Penal, artículo 197.1, que recoge la pena de prisión de uno a cuatro años y multa de doce a veinticuatro meses para el que para vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico.

domingo, 3 de junio de 2007

Backup? Para que lo necesitamos!

El otro día durante una cervezas con las hormiguitas de soporte (a estos chic@s, no les pagan lo bastante, por lo que aguantan), nos pusimos a recordar lo quemados que estábamos con nuestros Jefecillos- TecnoLess, mas conocidos, como “Ni se de lo que hablo, ni tengo intención de ocultarlo”.

Y entre todas las anécdotas, una me llamo la atención por la mezcla de tecnologías, leyendas urbanas y por lo burros que eran!

El tema era ¡como no! Las copia de seguridad, o Backupssss! Mas conocidas como Huppss se ha roto, no tendrás otro igual?

Así que la conversación fue algo como más o menos así.

Técnico:

“esto, perdón responsable Dep. de sistemas gerente de proyecto (Oh! Guru de la Informática), como que no estamos haciendo copia de seguridad de el servidor de documentación!”

Responsable:

“ Del servidor de Documentación? (mirada de cómo miran las vacas al paso de un tren).

Técnico:

“Si, del servidor de Linux, donde se guarda la documentación de actividad del proyecto”

Responsable:

“Ah! Ya se cual es, no es ese servidor HP que tiene los discos en raid?”

Técnico:

“Pues si, ese es!”

Responsable:

“No es necesario que se hagan copias de seguridad de ese servidor, (dulce mirada de comprensión), mira ese servidor es un linux , que tiene instalado un servidor de samba, Sabes Lo que es el Samba? veo que si!, Pues mira, ademas del servidor de samba, como es el servidor de documentación, tiene una partición de volumen encriptada que es donde se guarda esa documentación que te preocupa, pero como el Linux esta montado sobre raid, si se estropea un disco no perderemos la documentación, y el servidor continuaria funcionado, además, como es un Linux, es inmune a los virus que machan los Windows sin parar, y que nos dan tantos problemas, por eso, ese es el servidor mas seguro que tenemos, así que no te preocupes.”

Técnico:

“Vale, recopilando, no se hacen copias de seguridad por que, es un Linux, con una partición encriptada, que tiene un samba, y además los discos en raid y sin antivirus , por que no existen virus para Linux. Pues vale!”

Obviamente, esta era una demostración de razones poderosas, un monton de razones que demostraban sin lugar a dudas, que, ¡Tio, eres IDIOTA y no tienes ni IDEA!

Lo mas lamentable es que en la mesa, todos conocíamos un caso similar de genialidades en nuestro trabajo.

Así que corra la cerveza y otra de nachos!, que mañana será otro día, quizás un poco menos lamentable que el de hoy.

Los comienzos nunca fueron buenos, de aquí, ¡al desastre!

Una de las cosas que siempre me llamo la atención dentro del campo de la seguridad de sistemas, ha sido, como un quinceañero desde de su casa y en su tiempo libre, con un coste de producción de unos pocos euros y un pc casero, ha sido capaz de tumbar una gran infraestructura formada por varios miles de euros en sistemas de seguridad , cortafuegos, routers, antivirus etc, y compuesto de varios departamentos de profesionales en sistemas, seguridad lógica, explotación de infraestructuras, Administración de sistemas, etc.

En resumen con una proporción de 100 a 1, gana el 1.

Un David contra Goliat, curioso, pero David nunca parece tener excesivos problemas para acabar con alguien mucho mayor y con mas equipamientos y recursos, así como de causar supuestos daños por valor de millones (o eso dicen).

Normalmente en la industria se tiene la falsa percepción que cuanto mas se invierta en seguridad física o lógica mas a salvo se esta.

Una disponibilidad flexible de recursos siempre es de agradecer, pero el disponer de las últimas tecnologías o sistemas de protección no es la panacea universal que se quiere vender.

Todos los fabricantes en sus demostraciones de seguridad, muestra la solución final que terminara con todos nuestros problemas, estas demostraciones se suceden tres o cuatro veces a lo largo de un año, con una eficacia operativa de unos cuatro meses, antes de que la nueva generación de aplicaciones y tecnologías, genere una nueva batería de problemas sin solución.

Normalmente los problemas graves y me refiero a verdaderas meteduras de pata operativas, parten de las decisiones ejecutivas, tomadas, por los responsables de turno, que desconocen lo que hacen o las consecuencias finales de sus decisiones.

Así pues, no importa cual haya sido la inversión final de la empresa en seguridad cuando, aquíen se le entrega la toma de decisiones no esta preparado para asumir las mismas.

Un ejemplo; en uno de mis últimos proyectos, empresa privada gestionando infraestructuras publicas, tras el desarrollo y entrega por parte de la empresa matriz del plan de explotación y gestión de las infraestructuras IT, en una de las primeras reuniones de trabajo, con el responsable de proyecto. Este, abandono el seguimiento y ejecución del plan de proyecto, basándose en que según su vasta experiencia, un plan de proyecto era algo “tan dinámico y cambiante, que una vez entregada la documentación al cliente, esta no tenia por que seguirse”, esto causo, no poca consternación dentro del equipo técnico , al comprobar en manos de que elemento habíamos caído.

Esta es uno de esas situaciones, en las cuales, da igual los recursos que la empresa destine al mismo, la calamidad esta servida, es solo cuestión de tiempo. Ya que la cadena de decisiones criticas será tomada, partiendo de fuentes mas que cuestiónales.

Como puntualización, cabe destacar que tras una pequeña investigación sobre este responsable de proyecto, se descubrió que en las entrevistas de personal, había indicado que había gestionado otros proyectos en grandes multinacionales, pero una investigación mas detallada, mostró que las funciones desempeñadas no se correspondían con la realidad, asi como el fracaso del proyecto anteriormente mencionado, al ser cancelado por la empresa, desconocemos la razon , pero es facilmente imaginable.

Tras un mes de trabajo con dicho responsable, el Dep. Técnico de sistemas ya había llegado a la conclusión de la poca capacidad de gestion tecnica de dicho responsable ,al ver como las decisiones que se tomaban carecían de experiencia en el sector, añadiendo la falta de capacidad en la gestión tanto de flujos de trabajo como de gestión de personal y recursos.

viernes, 1 de junio de 2007

Dios los cria y ellos llegan a Jefes

Bueno leemos en meneame que “Guardia civil del grupo de delitos informáticos poco entenderá sobre los antivirus freeware” y continua con “Ayer en el programa interneox del canal de tdt antena.neox en una entrevista con un responsable del grupo de delitos informáticos de la guardia civil no se le ocurrió decir otra cosa que para proteger tu ordenador se utilizara un antivirus legal que aunque cueste dinero vale la pena. Y que los demás antivirus que se podían encontrar por la red eran ilegales. Es decir que si no pasas por caja y te instalas uno de los muchos antivirus freeware y totalmente gratuitos estaremos cometiendo una ilegalidad ¿Te podrán meter a la cárcel por esto?”

Ejem! Acabo de empezar el blog, se supone que solo “una al dia”, pero la verdad es que esto lo merece, que gracioso es el menda.

Nos podria mandar el currículo, seguro que a RRHH les encantaría contratarlo de asesor de seguridad, se ve que tiene una amplia experiencia en NADA.

La pistola de este agente sera freeware o sera de pago y las balas?

Solo detendrán a los Juankers (hackers malos españoles, llamado Juan) malos, que sean de pago, a los Juankers que lo hagan gratis esos no les interesaran

Elefantes Blancos y Acolitos

Hoy hemos tenido visita de los elefantes blancos de la central, y tras las consiguientes anécdotas sobre cuando yo era un chaval y se solucionaba todo con un disco de 3-1/4. (Risas, risas, aplausos, hace años que el único ordenador que toco es el mi secretaria cuando necesito acceder a mi agenda de correo, risas, etc.) Pasamos a ensañarles nuestro flamante CDP.

Que bonito, que frió hace, que chulos son los armarios, esto que es. Jo! Como han cambiado las cosas ¿esta es la compra que autorice en el plan de desarrollo? que costo un riñón de los de contabilidad, mas etc., risas, risa. J J

Hasta aquí nada que no hubiésemos escuchado antes o no, pero en esta visita, uno de los acólitos, guardianes del elefante sagrado, opino!

O quizás tenia que hacerse notar, preguntas profundas, meditadas, directas, demostrado que es uno de sus seguidores que cuenta y asesora sobre temas profundos.

“y Habéis tenido en cuenta el peso del CPD en el edificio, todo esto puede afectar a la integridad estructural del centro de trabajo”.

Ejem! Silencio y pasamos a otros temas. “hola habéis visto que maquina de café tan bonita tenemos, hasta da chocolate caliente” y a otra cosa mariposa.

Poco probable que el peso del CDP afecte al edificio, 12 plantas de altura un garaje sobre nosotros y estamos en el sótano directamente sobre los cimientos.

¡Si el peso de los servidores afecta al edificio, lo notaríamos, al desaparece la planta baja, bajo tierra y tener que salir por las ventanas del entresuelo!

Sin comentarios.

PD.

De las corbatas desconfía!