36ª Charla técnica de ISACA Madrid

El pasado 10 de Junio participe de la 36ª Charla técnica de ISACA Madrid, este año me gustaria destacar la participación del Centro de Ciberseguridad Industrial.

Destaco esta participación, por que el mejor resumen que puedo hacer es que veáis la película La Jungla 4.0, en esta película un grupo de ciberterroristas toma el control de los EE.UU. controlando las industrias basicas, electricidad, gas, etc. Podemos pensar que es solo una película, pero si en el 2007 ya los guionistas pensaban que el guión podia ser creíble  hoy en el 2013 es una realidad.

Las maquinas tambien se conectan y conectadas son vulnerables, teneis un resumen de la charla en el Blog del Centro de Ciberseguridad Industrial.

Otro punto a destacar fue la presentación de Viper Network, si os digo que es un sistema de protección basado en la geolocalización de IP no parece muy novedoso; y es cierto no es novedoso; lo novedoso es que este centralizado en un solo punto de la red y no es innumerables elementos distribuidos y que ademas de poder bloquear un pais, se pueda hacer por protocolo y puerto; es simple y brillante; facil de implementar y poco coste de mantenimiento, una solución para dar seguimiento en el futuro; si quereis tener mas información leer el articulo en IT Ultreia.

Termino citando a Luis Fernando Hernández (Guardia Civil),

 "Toda organización debe priorizar la Gestión del Conocimiento dentro de su estructura". 

y si hablamos de seguridad el conocimiento es poder....

Cloud. IaaS el valor no se presupone se demuestra.

Os recomiendo la lectura detallada de este artículo.

http://www.cloudspectator.com/cloud-server-performance-a-comparative-analysis-of-5-large-cloud-iaas-providers-3/

Este estudio a tomado 5 proveedores de Cloud IaaS con 5 servidores equivalentes.

Y se ha comparado el costes + el rendimiento en un concepto llamado valor.

Sacar vuestras propias conclusiones pero lo que parece evidente es que una vCPU no es lo mismo dependiendo del proveedor y que un € no significa lo mismo.

Hay que hacer esta pruebas por uno mismo para poder elegir que proveedor de Cloud, sobre todo en IaaS.

Nota.- No por tener el mismo nombre significan lo mismo.

Bring your own device. (BYOD).

El pasado día 17 de Mayo participe en una mesa redonda de

 sobre BYOD, o lo que es lo mismo que los usuarios utilicen sus propios dispositivos en la empresa.

Génesis.

¿De dónde parte esta necesidad? Hasta qué los señores de Appel no convirtieron los teléfonos en objetos de culto y los bloc de notas en "tables", nuestros usuarios eran felices con los dispositivos que les proporcionaba la empresa, pero ahora eso ya no es así; y no es así por varios factores:

• Factores humanos.
•  Los dispositivos smartphones, tables e incluso los PCs se han convertido en una señal de estatus, tener un iPhone es esta en la onda y una Blackberry es de antiguos.
• Uso. Ahora los dispositivos hacen muchas más funciones, usamos correos electrónicos, redes sociales e incluso trabajamos con ellos. A hacer más cosas comenzamos a tener, más utilidad más opiniones de uso y más opiniones más diversidad. Ahora valoramos un dispositivo por el programa de correo que tiene, me gusta más el correo de Android que el de iOS.
• Factores de Mercado.
• Fabricantes de Dispositivos. Se ha descubierto un nuevo mercado y los fabricantes de dispositivos se han apresurado a tomar posiciones, como los pioneros del lejano oeste han puesto en funcionamiento sus carretas de marketing, publicidad, etc. para poder conseguir un pedazo de la tierra prometida. Han sido los responsables de acentuar los factores humanos creando una demanda por encima de lo normal, la duración de un dispositivo de alta gama en el mercado son 6 meses; ¿De verdad que cada 6 meses hay que cambiar de móvil? Para mi esto es casi un problema moral ya que indica que para una sociedad la representación material continúa siendo vital, perdón, siempre me olvido que somos una sociedad de consumo.
• Operadores. Los operadores han visto también una posibilidad de mercado en mi opinión no tienen muy claro cual es ese mercado pero ven que se mueve mucho dinero y eso significa que hay que tomar posiciones, lo que vulgarmente decimos, vamos al lío a ver que pasa.

Estos factores son el génesis de la tormenta, ahora la tormenta comienza por los directivos, esos indisciplinados que opinan que ya que el futuro de las compañías depende de sus decisiones lo mismo también pueden decidir que dispositivos utilizar, ilusos. Y no nos engañemos, por los departamentos de TI que son de los primeros que usa dispositivos distintos al resto de usuarios, pero la escusa es "Es que yo se de esto, y lo necesito para probar y estar preparado", otros ilusos.

La tormenta ya esta descargando y ahora toca saber que hacemos para no mojarnos.

Alternativas.

Negación.

Simplemente podemos negar que llueve y en nuestro caso esta negativa tiene varias posibilidades.

No estamos preparados.

Negación de que nuestros sistemas y aplicaciones estén listos para soportar cualquier dispositivos del mercados. Que esta negación tiene una derivada que es un poco más sibilina, no estamos preparados pero por una indecente cantidad de dinero preparo los sistemas, esta negación elude la responsabilidad ya que no es por culpa del departamento de TI, que si que quiere, es que cuesta mucho.

No es seguro.

Esta negación es mi favorita, por que simplemente no hay que demostrarla, tu simplemente dices "No, es que no es seguro." Con cara de preocupación y automáticamente has creado una barrera infranqueable y lo mejor es que casi nadie pregunta "pero, ¿Por qué no es seguro?; y aunque lo hagan basta con decir: " Es que podemos perder datos" como si eso no ocurriera jamás en una empresa y como si mandar un fichero adjunto por correo a una persona externa de la compañía, como un auditor, no supusiera que ese adjunto a pasado por unos cuantos servidores en el mundo, que ni se donde están, ni se quien los controla, pero esto no es perder datos; es extraviarlos controladamente, por cierto nadie a pensado que esa auditor que recibe el correo lo hace en un dispositivo personal por que su empresa si tiene una política de BYOD.

Adopción.

La posibilidad de crera una formula para que los usuarios utilicen sus propios dispositivos merece un articulo completo, que dejo para más adelante....