domingo, 25 de noviembre de 2007

Sin seguridad IT: Oraculo Gartner

Gartner pronostica la caida de los precios de las licencias de software
via Diario IT

El oráculo de la seguridad, software, innovación y un montón de cosillas mas (aunque si el rio suena agua lleva) pronostica la caída de las licencias de software propietario y el auge del software libre. Claro que si opinas de sobre todo, sobre algo acertaras, la ley del 80% 20%.

Pues la verdad, es que vamos dados! Si ya tenemos problemas de seguridad con el software mantenido y actualizado por empresas, cuando nos pasemos al libre y nuestros sistemas y aplicaciones revienten, quedara muy bonito en las reuniones del equipo de administradores y ante el consejero de dirección que estamos esperando a que un guru del software libre le de por levantarse una mañana y sacar un parche que solucione ese agujerillo de seguridad que permite que cualquier quinceañero que se descargue un script exploit de la Web de hackers de turno nos reviente nuestro flamante plan de explotación de sistemas y nos tumbe nuestro CDP.

Pero nos consuela que el Cuadrante, no es más que un ejercicio de predicción más o menos condicionado, por los intereses de la industria.

Cualquiera puede pronosticar que los ordenadores seguirán siendo más rápidos, pequeños y con mayor capacidad de almacenamiento.

O que el P2p seguirá creciendo en volumen y complejidad de encriptación.

O el cambio de la industria de la música hacia nuevos modelos de difusión, centrados en los propios artistas, lejos de la influencia de las discográficas.

Y podíamos seguir asi con un largo etc.

aunque los pequeños talibanes Linuxeros, esa parte de usuarios de linux que es una minoria extemista, se lanzaran a la blogosfera a celebrar la caida de Microsoft, Sun, IBM, en una nueva noche de los "monitores rotos" y fundiran y levantaran nuevos idolos de silicio decorados con leds dorados, de Richard Stallman. Para celebrar el nuevo advenimiento de los tiempos del pinguino, el en apocalipto del software libre.

alabado sea Linux Torvall.

PD.

si Microsoft, IBM, Sun regalasen las licencias a las universidades el futuro de determinadas tecnologias seria, incierto en un plazo muy corto.

Pero de algo teníamos que hablar!

viernes, 23 de noviembre de 2007

Seguridad IT: El Quiosco IT de España.

Según la lista del TOP 100 de empresas de desarrollo de software, lamentablemente España no se encuentra en ella. Siendo el desarrollo del software uno de los pilares económicos y punta de lanza del desarrollo IT. España esta España nuestra, se queda a las puertas de África. Da igual, la cantidad de inversión que realiza el estado español si al final los proyectos, no son realistas ni se orientan al mercado vigente, ni que se inviertan millones de euros en seudo-organismos de promoción de las empresas IT, a los cuales solo basta con echar un vistazo e sus líneas de trabajo para apreciar la falta mas absoluta de resultados, quedándose todo en operaciones de imagen populistas.

Últimamente también se a observado como determinadas asociaciones de fabricantes de software, están mas interesadas en obtener reformas fiscales y subvenciones que en desarrollar tecnología y eso que mas de una, no son mas que revendedores de software libre (san Linux) con un lavado de cara.

La lista de la vergüenza The truffle100

miércoles, 21 de noviembre de 2007

Seguridad IT: The Microsoft Architecture Journal


Revista de Micro sobre arquitectura IT y afines, gratuita y en varios idiomas, eso si tenemos que registrarnos.

aqui

lunes, 19 de noviembre de 2007

Seguridad IT: Sin seguridad Confidencial

A pesar del empeño demostrador por la administración en exigir aplicación escrupulosa de la OLPD, para la protección de los datos de los ciudadanos. En estos momentos nos encontramos con la ratificación y aplicación de tapadillo, de una normativa europea que permite la cesión y venta de los datos recopilados por la propia administración.

La aplicación de esta normativa ya se encuentra publicada en el BOE aqui.

En estos momentos se esta investigando a GOOGLE por la UE en referencia a la información confidencial de sus usuarios que maneja. Pero los mismos gobiernos se encargan de aplicar una normativa (rasero, moral) distinta, permitiéndose venden los datos recopilados de sus ciudadanos a empresas privadas.

miércoles, 14 de noviembre de 2007

Seguridad IT: Clasificación De Amenazas Web

Es bueno hablar de seguridad, y es todavía mejor saber de lo que ese habla y tener los conceptos claros de lo que es cada cosa.

Esta es una guía muy útil para todos aquellos Gerentes TecnoLles, jefecillos de proyectos y supuestas empresas IT que no saben de lo que hablan ni tienen intención de saberlo.

He tratado este tema, debido a las ultimas genialidades que he escuchado en una reciente reunión de trabajo.


La clasificación ha sido realizada por la Weappsec.org y te puedes descargar el PDF en castellano aquí.


Pd.

Personalmente yo, me la he releído. De vez en cuanto es necesario repasar los conceptos, para mantener la objetividad. Ya que después de cierta reunión, no me queda nada claro quien estaba metiendo la pata.

jueves, 8 de noviembre de 2007

Seguridad IT: Ventaja Competitiva.

Como hoy estoy de un humor excelente, no voy a hablar de esas normas ISO aburridas ni de checksList de seguridad y vamos ha hablar de planteamientos básicos de organización de la seguridad y mas exactamente sobre Gestión IT con un pequeño ejemplo de ventajas competitivas, (se podría aplicar la comparación con Linux y Micro, IBM o Sun, en su pequeño conflicto por la dominación del mundo). Y como ejemplo tenemos una pequeña lectura en el blog de http://www.historiaclasica.com/2007/11/la-ventaja-competitiva-del-ejrcito.html en el cual se analiza la eficacia de las legiones romanas a través de una serie de premisas básicas.

  1. Liderazgo:
  2. Estrategia y objetivos:
  3. Sistema de recompensas:
  4. Superioridad tecnológica:
  5. Formación:
  6. Superioridad técnica:
  7. Selección de personal:

Si analizamos estas premisas y las extrapolamos a las políticas empresariales de los grandes (Micro, IBM, Sun) resulta obvio, que aunque proyectos como Linux son muy validos, pero no dejan de carecer de la capacidad de “corredor de fondo” que se necesita para ganar una guerra, aunque se obtengan pequeñas victorias puntuales. Ya que “las guerras se ganan a través de las industrias”.

Este planteamiento se aplica también a la gestión de la seguridad IT, da igual la pequeña victoria o golpe de mano estratégico que consiga dar el hacker de turno, su esfuerzo es puntual y se basa en explotar una debilidad puntual de enemigo “las armas secretas, solo son secretas y efectivas una sola vez” así que al final, los equipos de seguridad, los planes de contingencia y los procedimientos de continuación de negocio, se impondrán sobre los sucesos puntuales y la carrera de fondo será ganada por las empresas.

El resto de sucesos y situaciones son puntuales y no presentan repercusiones graves en las líneas generales del plan de operaciones final.

martes, 6 de noviembre de 2007

Seguridad IT: Coleccion de Reglas ISO Seguridad Gratuitas

Empezaremos el dia con un poquito de cultura de libre distribución, sobre esas normas ISO que tanto nos gustan y que tanto cuestan.

Pero existe una pequeña colección de ellas que son gratuitas y que tratan sobre el tema que nos interesa. La seguridad IT.

Estos son los Freely Available Standards y se pueden descargar y revisar aquí.

De todos estos destacamos:

ISO/IEC 15408: criteria IT security.
ISO/IEC TR 15446: Guide for the production of Protection Profiles and Security Targets.
ISO/IEC 18045: Metodología para la Evaluación de la Seguridad IT
ISO/IEC 21827: Model, SSE-CMM.

Aunque podrás encontrar ISO de casi todos los temas que te interese auditar.

Seguridad IT: IT Security Essential Body Knowledge



En este documento del “Department of Homeland Security USA” nos muestra como definir en 4 áreas de actuación, la seguridad IT, atraves de las aproximaciones e implementaciones necesarias para la ejecucion de cualquier proyecto de seguridad.

Estas son:

-Diseño

-Gestion

-Implementación

-Evaluación

Todo ello “aderezado” con roles de actuación para las distintas areas de influencia y procedimientos de actuación.

Además de proponer unos roles basicos de gestion. Los cuales son extremadamente utiles a la hora de definir nuestros organigramas de mando, gestion y de responsabilidad.


Descarga aquí en PDF