Seguridad IT: Gestión de Correo Electrónico Corporativo.

Este es un tema que ya hemos tratado en este blog hace algún tiempo, con el articulo “Si lees este mail, estas cometiendo un delito!”

Pero merece la pena recordarlo, debido a la reciente sentencia del tribunal supremo sobre esta cuestión.

“El Tribunal Supremo prohíbe que la empresa acceda a su correo si no está establecido en su contrato o en un pacto específico”

“Según la ley, el registro de los efectos personales del trabajador es una medida excepcional que sólo podrá realizarse si tiene como justificación la protección del patrimonio de la empresa o de los demás trabajadores, y siempre debe hacerse en presencia de un representante sindical o, si no lo hubiese, de otro trabajador.”

En lo referente a contrato o pacto específico, se refiriere a los manuales de buenas prácticas y cláusulas de confidencialidad que se aplican o deberían de aplicarse en las distintas políticas de Seguridad IT y Gestión IT de las empresas y corporaciones.

Aunque debemos destacar que estas normas de utilización y la lectura consentida de los contenidos de los correos electrónicos, sigue estando en un limbo legal, ya que en el momento en que los contenidos de los correos, traten contenidos relacionados con afiliación política, vida personal, orientación religiosa u orientación sexual, invalida automáticamente cualquier acuerdo previo con la empresa y se consideraran de contenidos inviolables , al estar estas áreas incluidas dentro de los derechos constitucionales inviolables del individuo.

CheckList de Continuidad de negocio IT para PYMES

Publicado por capital one, en la cual describen los puntos y procedimientos a aplicar en caso de caídas catastróficas de nuestras infraestructuras. (si los procedimientos a aplicar para ese dia que nunca creiste que llegaria!)

1) Develop a business continuity / disaster recovery plan.

Donde esta ese maldito documento?

2) Alternative operational locations
Quien tiene un garaje grande?

3) Backup site.

Tenemos copia de esto? Y de esto otro? Y de todo?
4) Safeguard your property?

Acuérdate de cerrar al salir!

5) Contact information

Por quien pregunto?
6) Communications

Ese connector va al Servidor y ese otro al telefono Movil
7) Employee preparation

Quien sabe como funciona esto?
8) Customer preparation

Y los de mantenimiento saben como funciona
9) Evacuation order

Las mujereres y los niños primero
10) Cash management

Tienes algo suelto para comprar un CPD nuevo
11) Post-disaster recovery procedures

Vale! alguien tendrá que recoger y barrer todo este desastre.

Pero de una manera mas seria. Estas son las preguntas que cualquier administrador o gestor IT que se precie, debería de hacerse y revisar si las cumple.

CheckList

Gestion de Eventos de Seguridad para PYME

"Guía Metodológica para la Gestión Centralizada de Registro de Eventos de Seguridad en Pymes". Un documento de indispensable lectura el cual nos presenta las bases de una gestion y analisis de eventos de seguridad para las Pymes, asi como una primera aproximación a los requerimientos necesarios para el desarrollo de modelos mas complejos de gestion y analisis de seguridad.

Esta guia ha sido realizada por tres investigadores (Edgar Enrique Ruiz, Diana Carolina Niño Mejía y Alejandro Sierra Múnera) de la Pontificia Universidad Javeriana de Bogotá.

aqui

Cuando dos mundos chocan, IIS, Apache

Como hoy es sábado, solo un pequeño apunte. El estado de situación de IIS7 y Apache.

Unos suben otros bajan, convergencias positivas y convergencias negativas y el dia en que estas dos lineas se crucen. Internet estallara en una flame final sobre la conspiración de dominacion mundial de MicroSoft.

Aunque no lo deben de estar haciendo tan mal. Por IIS se paga y por Apache no. Asi que supongo que a nuestros amigos linuxeros les toca ponerse las pilas en uno de esos multiples arboles de desarrollo de apache que tienen y sacar una version nueva y mejorada que le plante cara a IIS. O no seran capaces?

Gartner's top 10 Strategic technologies for 2008

O lo que es lo mismo el guru de la tecnologia futura ha publicado su famoso cuadrante nostradamus de las 10 tecnologias que daran que hablar en el 2008.

1. Green IT
2. Unified Communications
3. Business Process Management
4. Metadata management
5. Virtualization
6. Mashups
7. The Web Platform
8. Computing fabric
9. Real World Web
10. Social Software

Personalmente aprecio la veracidad de los cuadrantes de Gartner como un disparo de escopeta contra un papel en blanco.

Publica mucho desarrollo de tecnología en plan guru y acierta poco (se pasaron por alto el éxito de los buscadores, los programas P2P, el éxito de las distribuciones de pago de Linux red hat y unas cuantas cositas mas) pero como este cuadrante es utilizado por las grandes empresas para generar confianza en sus productos, desarrollos y chapucillas varias, tiene mucha “validez”.

Los versos profeticos de Nostradmus tienen la misma validez, si los lees, son lo bastante ambiguos para relacionarlos con cualquier hecho pasado, y esa misma ambigüedad se puede aplicar a los hechos futuros, osea no vas a profetizar nada que no este delante de tus narices.

articulo en ingles aqui

Pd.
Saludos a nuestros amigos de:
Hewlett-Packard Company, Europe
Universidad Nacional Autonoma de Mexico, Mexico, Distrito Federal, México
Uninet S.A. de C.V., Cancún, Quintana Roo, México
Cableuropa - ONO
Consejeria de presidencia Castilla y Leon
Fomento de España
y un largo etc.

Grupo de Usuarios VMware de Iberia.

Es una oportunidad única para conocer a colegas con los que debatir las novedades de la virtualización, mejores prácticas y nuevas tecnologas. Lugar el viernes 26 de Octubre, en Centro Regus Puerta de las Naciones.

AGENDA

09:30 -	Bienvenida
10:00 -	Technology Previews: Anuncios de VMworld07 - ESX 3i - Site Recovery Manager - Virtual Desktop Manager - Storage vMotion - Continuous Availability
11:00 -	Descanso
11:30 -	Best Practices: Recomendaciones de Diseño - Almacenamiento - Networking - Backup
13:00 -	Conclusiones y Diseño de la Próxima Reunión
14:00 -	Cierre

26 de octubre 2007
9:30 - 14:00

Localizacion:
Centro Regus Puerta de las Naciones
C/ Ribera del Loira 46 Campo de las Naciones
28042 Madrid

Registro

Como Llegar

CheckList ITde INTERPOL

Una pequeña reseña, CheckList de Seguridad IT.

Asi podremos saber cuan burros somos, y que deberes no hemos hecho en nuestras infraestructuras y la gestion de la misma.

CheckList aqui

PD.

Si alguien consigue el 100% de aciertos o errores que lo postee! :)

y continuamos con una guia sobre BS25999, mas conocido como continuidad de negocio. Si! ese plan que tienes que aplicar, cuando un pedazo de un satelite chino militar a impactado de pleno en tu CPD, desintegrando los servidores,la sala de copias de seguridad y se supone que la empresa tiene que seguir funcionando.

Jeje! se supone!

By Avalutiun

Dias de reflexion, Gestion IT.

Como Internet esta muy tranquilo en estos últimos dias, y yo he estado un pelin atareado con las nuevas responsabilidades laborales (es curioso como se inventan nuevos puestos para nombrar nuevas responsabilidades) en este caso, algo asi como, Storage and Backup Administrator Cosulting (siendo la traducción acuerdo con las funciones algo como, administrador de almacenamiento y backups, et veritas confiamus) y luego lo mezclamos un poco con virtualization manager.

Y asi obtenemos un chico para todo!

Bueno, auque parezca que que estos cargos no tiene mucho que ver con la seguridad IT, o mas bien con la gestión de IT. Resulta que son unos campos magníficos para la puesta en marcha de todos esos procedimientos y protocolos de los que hemos estado hablando últimamente

Dentro del área de Backup Consultor tenemos todo un campo relacionado con las comunicaciones y la privacidad de estas. Como es esto? Que tiene que ver!, Pues de la manera mas sencilla. El flujo de información a los robots de copia y a los distintitos dispositivos de almacenaje, debe de estar sujeta a protocolos de encriptación y privacidad de acuerdo al nivel de confidencialidad de los datos a copiar.

Estas reglas también se aplican a los dispositivos de respaldo físicos que se utilizan tanto de unidades de cinta, como de las propias cintas, asi como de los arrays de storage que se utilicen.

Así tenemos que definir varias políticas y procedimientos relacionados con la catalogación del nivel de confidencialidad de los datos a copiar, como y por donde van a ser copiados (esto es redes, subredes y enrutamientos), por quien (niveles de administracion de BackUp Administrators, Backup Operators o Backup PowerUser, veritorum ets) revison de las zonas y utilización de los distintos Swichs de fibra a utilizar, la reserva de los distintos recursos de grabación involucrados, en este caso, unidades de cinta, drives y robots asignado (los dispositivos de grabacion de datos criticos deben de reservarse y catalogarse) y por ultimo la consistencia documental a aplicar en las cintas o unidades finales de almacenamiento (esto es, contabilidad, contabilidad y no mezclar con los datos de desarrollo o de marketing, etc) y lo rematamos con la aplicación de la OLDP de turno.