La Fabula del cerdo y las gallinas II

Pues eso, para los que le pico el gusanillo de Scrum un pequeño video.

Scrum en 10 minutos.




Feliz, presentacion

Scrum o "La fabula del cerdo y la gallina"

Hablando hoy sobre cerdos y gallinas, me vino a la mente el tema de Scrum y de las reuniones de trabajo, con todos esos cerdos (normalmente uno, el responsable que no jefe, pelotillero de turno) las gallinas (los pelotas del responsable pelotillero, que no destacan por su capacidad tecnica, excepto la de traer cafes y hacer la pelota al pelota) y el equipo (los que saben lo que hacen, como lo hacen y sobre todo como hacerlo) y todos esos roles, que son los que se encuentran definidos en Scrun , el cual es muy util, libre he interesante de gestionar para aprovechar en todos esos proyectos, lios en los que estamos metidos.

Scrum by Wikipedia

Pd.

Aunque no es especifico para seguridad, la organizacion del flujo de trabajo y su capacidad de actuacion permiten definir procesos y roles muy utilies para utilizar en los equipos de trabajo de seguridad con todas esas tareas,  procesos, revisiones, reuniones, implantaciones, pruebas, etc que tenemos encima de la mesa.

feliz fabula de cerdos y gallinas

Gestion de Soportes, NIST 800-88

Quien no se ha peguntado que procedimiento debe de seguirse para la gestion de esos Pen-Drives, CD, HD, Cintas, etc que utilizamos en  nuestra empresa.

Pues para solucionar estas dudas, aquí tenemos una pequeña guia con un bonito diagrama de flujo para su correcta gestión. Todo esto esta basado en la guia NIST 800-88 para el “saneamiento y gestión de soportes”.

Se establecen tres niveles de seguridad para la información baja, moderada y alta (podemos aplicar los niveles de seguridad de LOPD, ya se equivalen) y después, aplicamos tres procedimientos para su control, estos son, distorsionar, purgar y destruir.

 

Distorsionar: equivaldría a la modificación de la información lógica del medio o archivo a tratar, esta parte es compleja, ya que se introducen varias técnicas posibles a aplicar, desde la encriptacion de archivos, limpieza de los metadatos contenidos en los ficheros a procesos de censura de la información contenida en los mismos, así como otras técnicas de gestión de la información logica contenida, tales como control de distribución por diccionarios de sinónimos, etc.

(El control por diccionario de sinónimos es una técnica para el trazado de la información, dentro de la empresa o en entornos controlados, cosiste principalmente en la aplicación de sustitución de sinónimos en un documento raíz, siendo los resultantes distribuidos a los distintos niveles de distribución, permitiendo averiguar en caso de filtración, de que departamento o persona a filtrado su copia del mismo)

 

Purgar: esta es sencilla, buscar y eliminar la información a nivel físico dentro del dispositivo, podemos utilizar el típico multi-format, desmagnetizadores y cualquier técnica que impida una recuperación física de la información contenida en el soporte.

 

Destruir: Esta es la mas facil, Kill-all, eliminar el soporte fisico, eso es, destruir, quemar, aplastar, fundir, mas halla de cualquier técnica de recuperación o reparación física.

 

Para comprender el flujo y decisiones a aplicar, qui dejamos un bonito diagrama.

Plantillas y ejemplos, Continuidad de Negocio

Todo empieza con un sonoro ARHHHH!!!! y es que algo se ha roto de verdad dentro de nuestro querido CPD, y tras el primer sudor frio, llega la pregunta del millon y ahora que?.

Pues para eso, nos preparamos, para eso estamos listos, para eso nos entrenamos, para eso aprendemos dia a dia, o no?

Pues como no tengo mucha confianza en estas situaciones, mejor leemos un rato y nos preparamos para el dia que nunca llegara.

Desde del centro de desastres de canada.
planes, plantillas y ejemplos de desastres.

a disfrutar, y a jugar!

Privacidad sobre tu navegador

Que informacion se puede sacar de tu navegador GPS?
Pues tras bloquear la tarjeta de memoria contra escritura o hacer una imagen del HD del mismo, no encontraremos con estos ficheros y estos contenidos.

Después de tener en cuenta estas recomendaciones, la información se extrae de los siguientes archivos:

• *.cfg: Datos sobre las ultima localizaciones y viajes programados.
• CurrentLocation.dat: Última posición antes de apagarlo.
• ttgo.bif o ttnavigator.bif: Información general del dispositivo, número de modelo, número de serie, contraseña de usuario.
• Settings.dat: Conexiones Bluetooth: nombre, identificador MAC y lista de dispositivos conectados con su correspondiente identificador MAC. Información introducida por el usuario como: nombre, número de teléfono, dirección…
• Called.txt: Llamadas realizadas, en el caso de que se trate de un teléfono móvil GPS. Hechas a través de la aplicación TomTom.
• Callers.txt: Llamadas recibidas, en el caso de que se trate de un teléfono móvil GPS. Recibidas a través de la aplicación TomTom.
• Contacts.txt: Información acerca de los contactos.
• Inbox.txt: Mensajes de texto que ha recibido a través de la aplicación TomTom.
• Outbox.txt: Mensajes de texto enviados a través de la aplicación TomTom, en el caso de que se trate de un teléfono móvil GPS.

la moraleja es que un navegador no esta diseñado para preservar tu privacidad, asi que no tiene porque estar protegida toda la informacion "sensible" que pueda contener

Operaciones con Dominios

Crear, Renombrar, Reestructurar.
Cuantas veces metemos la pata y queremos solucionarlo? Pues ya podemos con estas sencillas y tecnicas Guias.

Renombrar:
Administering Active Directory Domain Rename (Windows Server 2008 TechCenter)
Windows Server 2003 Active Directory Domain Rename Tools (Windows Server 2003)

Fusionar y Migrar (Santa Migracion)
ADMT v3.1
Guía de ADMT v3.1: Migrating and Restructuring Active Directory Domains

y para el tema migrar las Passwords de usuarios, etc, etc
Password Export Server versión 3.1

System Explorer

Para hoy, no hablaremos del nuevo juguete de microsoft, para cloud computing (ya estan hablando de el todos los demas Blogs), pero trasteando, he encontrado uno de esos programitas de lo mas util que te puedes encontrar para la administracion y para ver que es lo que esta pasando o que hace ese maldito "proceso" que no deberia de "estar" en ese servidor.

Lo tenemos en version "Portable" o full Instalacion, la portable es la mas util y "chula" al Pendrive y venga a correr.

Y que nos ofrece? pues acceso a los ficheros que usa el sistema, comunicaciones, drivers, carga de procesos, puertos abiertos, drivers, librerias, etc, etc, en el fondo nada nuevo, pero "todo en uno".

asi que a disfrutar.

System Explorer

FaceBook, MySpace,RRHH y Privacidad

Nos podemos preguntar que tienen en comun o que relaciona todas estas disciplinas, pues la verdad es que yo tambien me lo preguntaba. Me lo preguntaba hasta el otro dia, en el cual aprovechado que estaba en la “ciudad” acudí a una entrevista de trabajo; no estaba especialmente interesado en el puesto, pero nuca se sabe que puede saltar delante, además tenia curiosidad por ver de que pinta tenia ese proyecto en particular ya que había oído comentarios al respecto.

Perooo! El tema que trataremos no es tecnico, sino lo “lista” que pueden ser los de RRHH (mis disculpas a la gente de RRHH, que tienen muy buenos profesionales, aunque este no es caso). En fin al tema, el dia X a la hora X quedamos, muy chula la oficina, el despacho muy bonito (con vistas, que lujo), no me hicieron esperar, me ofrecieron un café (que majos!) y asi después de un rato de hablar de conocimientos tecnicos, experiencia profesional  y del proyecto (que muy chulo , que muy bonito, que mucha pasta, etc), la conversación llega a un punto critico, “aunque tu perfil sea bueno y tengas experiencia de campo en empresas muy intersantes, veras! He buscado por Internet tu perfil usando los datos de tu currículo y… (en esos momentos, un escalofrio recorrio mi espalda, mierda, que se me paso, algun metadato despistado en el currículo y han aparecido nombre o referencias que no debían, mierda, mierda, se me colo el alias, o el nombre del grupo de HackAMigos, o en el correo una dirección de copia al grupo de Hack-tivismo!, Osea que la hemos liado).

Pero cual seria mi sorpresa, cuando la conversación continua “ Pues eso que te he buscado en m

MySpace y Facebook y no “apareces”  y para este proyecto queremos gente que tenga presencia en la red, también te hemos buscado en google y no existen muchas referencias sobre ti o sobre lo que has hecho”.

Bueno!, bueno! que susto, pues no, no se me habia colado ningun dato en el correo o en el doc. Del currículo, ni el ningun de los .pdf adjuntos, asi que nada, pues lo siento majo, si no te sirvo, no sirvo que le vamos ha hacer, no soy lo bastante FaceBook para vosotros, siento  no ser guai!. Pero como que si buscas otro alias y otras cositas de mi grupo de “amiguitos” y de las  otras direcciones de correo que tengo, como que seguro que tampoco “valgo” para el proyecto, por muchas referecias que tenga en Google, ni los documentos y proyectos publicados que circula por la red con mi alias.

 

Moraleja.

La información puede ser buena, mala y pesima, en Internet se suele encontrar toda la información que quieras, pero el saber que preguntar es otra cosa y el tener otra “personalidad” es bastante comun. El que este de moda facebook, myspace y otras cosas no significa que sean herramientas infalibles para los de rrhh y para asegurarte tu privacidad en la red, basta con ser quien no se es o quien no se quiere ser.

En fin otra vez sera, en Internet quien quiera ser invisible lo es.

Politicas, Politicas, veo Politicas de Seguridad

Parece que el tema esta de moda y no nos referimos a politicas economicas, sino a politicas de seguridad (Aun recuerdo la resaca del fin de semana y el ardor de estomago de la pizza).

Asi que empecemos.
desde dmoz.org temos 50 "politicas" standart de seguridad para aplicar en distintos entornos.
en infosecwriters.com un PDF de esos que nos gustan tanto sobre Politicas de seguridad a aplicar sobre pequeños negocios.
y para terminar y que todo no sea trabajo el juegecito de HP para aprender seguridad.
game.mea-i.org/ y ale, ale a disfrutar.

por fin es miercoles!!! ole, ole ya queda menos!

Listado de Politicas de Seguridad de 2008 y Vista

Estamos de repaso, este finde toca currar generando un grupo de politicas de seguridad para una conocida "Corp" Madrileña (tranqui Paco, que no voy ha decir el nombre). Asi que con el plan de seguridad en una mano, la plantilla de politicas es la otra, el checklist listo y cargado sobre la mesa ,el lapiz afilado (no con boli, que no se borra!) y la oferta de Pizza Hut de la semana, pues eso a currar. Me he puesto hasta las 1:30 am de plazo para abrir la botella de ron liberacion y liberar tension.

Plantillas rapidas de politicas AQUIIII!

Pd.
Manda "gues" en cuenta de estar cenando en mi japones preferido, aqui me encuentro encerrado con mi amigo el "Hut" el Pizza Hut.
VMWare te adoro a ti y a tus maquinas virtuales, temblan politicas, temblad

Google admite que Android puede eleminar aplicaciones remotamente

El enemigo esta dentro, Google admite que podra eleminar aplicaciones sobre android remotamente. La diferencia, radica en que Google no ha tratado de ocultar el hecho, sino que lo admite abiertamente.

Aunque la cruda realidad es que se trata de una caracteristica privativa sobre una supuesta plataforma de desarrollo abierta. Sobre la cual se ha reservado el boton del jucio final.

Asi es el mundo, y asi son los negocios. 

Politicas de restriccion de software

El tema de hoy sera el malvado usuario que nos instala una y otra vez todas esas aplicaciones que no deberia instalar en nuestro querido ordenador corporativo, y como se hace esto o como se hace el los demas no hagan esto, o como se hace que esto se haga para que los demas no puedan hacer lo que quiera que hacen que hagan en nuestros puestos de trabajo.

Pues esto se hace asi y con esto.

1. Software Restriction Policies demo video download
   
2. Using Software Restriction Policies to Protect Against Unauthorized Software
3. How To Use Software Restriction Policies in Windows Server 2003

Un video de formacion, seguido de unas de esas guias tan chulas que nos gustan tanto y finalizando con un "How To".
Todo un menu de lujo para los sivarias de la seguridad corporativa. Bon Apetit

200 Bugs en Devian Lenny

Mas de 200 Bugs de caracter critico han sido detectados en la nueva version de nuestra "manchita de Vino", asi que han decidido retrasar el lanzamiento (y yo que creia que era imposible escribir una linea errónea en un kernel de linux, algo relacionado con el cielo abriéndose y un torrente de rayos y centellas purificadoras, fulminado al pobre hereje programador).

Parece que para el mundo de linux, tambien empiezan a servir las mismas reglas para el desarrollo del software que para el resto de los mortales.

Aunque desde que se empiezan a aplicar tecnicas de analisis de codigo automaticas, parece que linux no es tan linux (la tecnica esta copiada de micro e IBM).

EU scientists launch new, 'unbreakable' encryption system

Leemos en eubusiness.com que cientificos europeos prueban el primer sistema de encriptacion "irrompible" basado en encriptacion Quantica (la noticia del generador de Fluzo es para la proxima semana).
bueno, solo una nota y un comentario, un viejo ZX espectrum (sniff! nostalgia) no podria romper la codificacion de Ares, o un SHA, etc, etc. Ahora con las nuevas tecnologias de computacion distribuida (corba), cloud computing etc, el tema de las GPU`s etc, etc. Veremos cuanto se tarda en romper.
Ademas lo que se hace por software se deshace por software, una maxima universal (el que sea mas o menos dificil es solo cuestion de tiempo, potencia de calculo e ingenio).
La historia nos da ejemplos y siempre queremos olvidarnos de ellos, para muestra un boton, la maquina enigma alemana, decodificada por los britanicos durante la 2º guerra mundial con ayuda de Alan turing en el mitico Bletchley Park y basado en el trabajo de dos matematicos polacos que salieron por los pelos de polonia antes de la invasion y con su trabajo de descodificacion anotado en una simpe libreta de papel que llevaban dentro del bolsillo de su gabardina.

Guias,Guias Veo Guias en sueños

Ahora no tendras excusa para hacer bien tu trabajo, cuando se trate de instalar y configurar correctamente los malvados productos del satan de la informatica planetaria (ejem, Microsoft, recordemos que IBM, Apple y Sun son ONG de las hermanitas de la caridad).
aqui estan un recopilario de guias de Plnanificacion, instalacion , configuracion y fortificacion.

Guias aqui

• Microsoft Application Virtualization 4.5
• Windows Server 2008 File Services
• Windows Server 2008 Print Services
• Infrastructure Planning and Design Series Introduction
• Internet Information Services 7.0
• Selecting the Right NAP Architecture
• Selecting the Right Virtualization Technology
• System Center Operations Manager 2007
• System Center Virtual Machine Manager 2008
• Windows Deployment Services
• Windows Server 2008 Active Directory Domain Services
• Windows Server 2008 Terminal Services
• Windows Server Virtualization (for Windows Server 2008 Hyper-V and Virtual Server 2005 R2 SP1)

Aunque creo que algunas ya estan mas que publicadas y leidas (espero!)

Cuestiona tu trabajo! y el del Inutil de tu jefe!

¿Por qué estamos haciendo esto?

¿Qué problema estamos resolviendo?

¿Esto es realmente útil?

¿Estamos añadiendo valor?

¿Cambiará esto el comportamiento?

¿Hay una forma más sencilla?

¿Cúal es el coste de oportunidad?

¿Merece realmente la pena? 

Test Optimizacion de Infraestructura

Un pequeño juego de preguntas y respuestas sobre tus infraestucturas para sabe que tal andamos de nivel y compatibilidad en tu CPD-Mazmorra-Hogar.

By Micro,
Optimizacion Infraestructuras

Pd.
Es divertido! Tienes que estar registrado

Security and Acceleration (ISA) Server Best Practices Analyzer (BPA) Tool

Aprovechando la ultima instalacion realizada de un ISA, y las controversias surgidas en la misma, respecto al redimiento de la misma (basicamente, el tema de siempre, un taliban linuxero, aportando comentarios chorras sobre la capacidad del ISA y que todo lo del pinguino es chachi y gratis, aunque el pobre lo unico que hacia era repetir los esterotipos que habia leido en algun foro).
Pues aqui tenemos las guias de rendimiento y configuracion, para poder hacer y decir eso de "Zasss, en toda la BOCA".

ISA Server Best Practices

PD.
No me caen, mal los linuxeros, pero siempre que encuentras alguien que no tiene ni idea de lo que habla y encima te da la lata mientras trabajas, me pone de mal humor.

Ni un solo hogar sin un CRAY CX1

!Ciudadanos, puedo prometer y prometo que no habra en esta hispania nuestra ni un solo hogar sin su super ordenador CRAY CX1!

Tanto Cuda, multiples cores, tanto final de las GPUs, y al final lo que se impone (je,je) es tener tu super ordenador CRAY en el salon para ver peliculas, darle al P2P y controlar la domotica de la casa, levantar las persianas, encender tus bobillas de bajo consumo con IPV6 integrado, la chimenea del salon por degradado de encimas, hacer la colada en la lavadora de oxigeno, la crio-extasis del refrigerador, controlar los drones de limpieza, los escudos de energia, el reactor de fusion fria del garaje, las defensas laser de perimetro de seguridad, el campo de minas, el invernadero de las orquideas, el huerto hurbano de hortalizas, el invernadero de la mariguan..., ejem.

Mas informacion aqui y aqui

! se me olvidaba, esta disponible con sistemas operativos, Windows HPC Server y Red Hat

Que Quieres ser de Mayor

Curiosa estadistica desde  kirainet la cual nos cuenta que quieren ser los japoneses de mayores. Recordemos que Japon es una de las sociedades mas tecnificadas del  mundo, donde los culebrones se ven por el movil o la alta definicion en TV HD es algo del pasado.

• 1. Famosete / Actor / Actriz
• 2. Vocalista
• 3. Músico
• 4. Ingeniero de sistemas
• 5. Manager de artistas
• 6. Ingeniero de sonido
• 7. Ingeniero Web
• 8. DJ
• 9. Productor de eventos
• 10. Artista de peinados y maquillaje

Decididamente, estoy por dejar la informatica!

Top Lenguajes de Programacion

Y tu? en que programas!

Position Sep 2008	Position Sep 2007	Delta in Position	Programming Language	Ratings Sep 2008	Delta Sep 2007	Status
1	1		Java	20.715%	-0.99%	A
2	2		C	15.379%	+0.47%	A
3	5		C++	10.716%	+0.78%	A
4	3		(Visual) Basic	10.490%	-0.26%	A
5	4		PHP	9.243%	-0.96%	A
6	8		Python	5.012%	+1.99%	A
7	6		Perl	4.841%	-0.58%	A
8	7		C#	4.334%	+0.75%	A
9	9		JavaScript	3.130%	+0.41%	A
10	14		Delphi	3.055%	+1.83%	A
11	10		Ruby	2.762%	+0.70%	A
12	13		D	1.265%	-0.11%	A
13	11		PL/SQL	0.700%	-1.16%	A–
14	12		SAS	0.640%	-0.76%	B
15	23		ActionScript	0.472%	+0.07%	B
16	16		Lisp/Scheme	0.419%	-0.21%	B
17	18		Lua	0.415%	-0.16%	B
18	22		Pascal	0.400%	-0.03%	B
19	-		PowerShell	0.384%	0.00%	B
20	17		COBOL	0.360%	-0.27%	B

y el resto!

Position	Programming Language	Ratings
21	Logo	0.357%
22	Ada	0.349%
23	Fortran	0.303%
24	ABAP	0.280%
25	MATLAB	0.255%
26	RPG (OS/400)	0.247%
27	FoxPro/xBase	0.217%
28	Prolog	0.210%
29	Transact-SQL	0.204%
30	Awk	0.194%
31	LabVIEW	0.170%
32	PL/I	0.167%
33	DC	0.165%
34	Euphoria	0.148%
35	Haskell	0.124%
36	Smalltalk	0.123%
37	Tcl/Tk	0.122%
38	REXX	0.116%
39	Groovy	0.115%
40	Bourne shell	0.113%
41	ML	0.112%
42	Forth	0.107%
43	Objective-C	0.105%
44	Erlang	0.105%
45	CL (OS/400)	0.096%
46	Alice	0.092%
47	Scala	0.090%
48	Natural	0.080%
49	Caml	0.076%
50	APL	0.072%