30 marzo 2008

Tendencias en seguridad (por B. Schneier)

Como el otro día recordé que tenía pendiente resumir la intervención de Bruce Schneier en la última jornada internacional del ISMS Forum, me he puesto manos a la obra.
  1. Cada vez existirá una mayor cantidad de información que nos llevará a considerarla como la contaminación del futuro (consecuencia de la era de la Sociedad de la Información).
  2. La importancia de proteger nuestras infraestructuras críticas. Ya lo hemos comentado también en algunas ocasiones por aquí.
  3. El auge en el número de terceros que controlan y protegen nuestra información.
  4. La continuación en el incremento de la complejidad de los sistemas de información y, por tanto, de su impacto negativo sobre la seguridad de los mismos.
  5. La presencia de criminales en Internet. Ya lo hemos comentado también en alguna ocasión: En el pasado, lo que se llevaba era la ética hacker, ahora, lo que se busca es el beneficio y otros objetivos no tan pecuniarios.
  6. La mayor sofisticación del malware. Lo venimos observando desde hace más o menos 18 meses y, desde luego, es una tendencia creciente.
  7. La ralentización de los parches y el incremento, en número y en velocidad, de los exploits.
  8. La necesidad de securizar el último eslabón: el puesto cliente.
  9. El incremento de regulaciones.
Al margen de esto... "perlas" de su repertorio habitual: la seguridad como intercambio, la importancia de la información asimétrica en los mercados, los costes de cambios en tecnología, etc.

Y, para finalizar, no olvidarnos de la reflexión que hizo sobre el concepto de externalidad y que comenté en el blog de empresa.

26 marzo 2008

Hoy la cosa va de referencias...

Pues sí, parece que todos se han puesto de acuerdo hoy... así que adjunto aquí el link al comentario en el blog de INTECO en relación al evento en que participé en Palencia.

Básicamente, el asunto es que
no es lo mismo asustar que alertar...

Reflexiones sobre el eCommerce

El pasado domingo, en la edición de Bizkaia de El Mundo se han hecho eco de unas reflexiones sobre el fraude on line. En conclusión: "El usuario debe aplicar las cautelas de su vida real a la vida digital"

Link al artículo.

24 marzo 2008

Cambio de look

Que sí, que sí... que no os vayáis, que no os habéis equivocado, este sigue siendo mi blog, el de Antonio Ramos: Carpe Diem.

Lo único que ocurre es que le hemos cambiado un poco la apariencia. Vía Tic&Tac, conocí de la existencia de BTemplates y me he animado. Después de recurrir al consejo de mi experta en imagen (eso va por ti, Sonia), he cambiado la imagen del blog para hacerla un poco más personal...

En fin, solo decir que espero que os guste... a mi sí...


19 marzo 2008

El futuro de la industria de seguridad: ¿no-futuro?

Lo cierto es que llevaba un tiempo sin leer el blog de Bruce (lo reconozco), pero haciendo un repaso hoy, me encontrado con esta reflexión: "Security Products: Suites vs. Best-of-Breed" y no he podido resistirme a comentarla (además le debía a Mario un comentario en este mismo sentido, así que mato dos pájaros de un tiro).

Lo más jugoso de la reflexión del amigo Bruce:

"Honestly, no one wants to buy IT security. People want to buy whatever they want -- connectivity, a Web presence, email, networked applications, whatever -- and they want it to be secure. That they're forced to spend money on IT security is an artifact of the youth of the computer industry. And sooner or later the need to buy security will disappear."

Aunque suene un "poco" fuerte, la verdad es que no está exento de razón.

Todos asumimos sin ningún problema que el uso de las TIC es un servicio y que, como tal, se ha de gestionar (véase ITIL sino). No solo eso, sino que cada día que pasa, las TIC ya no son un factor diferenciador que te permite adquirir una ventaja competitiva, sino que son un factor necesario: Sin él, no tienes nada que hacer. Es decir, se está convirtiendo en una commoditie. Es cierto que no podemos generalizar y que existen elementos dentro de las TIC, los más pegados al negocio, que no son así... que son específicos y que aportan una ventaja competitiva pero, desde luego que son un subconjunto menor de las TIC.


Por tanto, estamos asimilando las TIC a cualquier otro suministro básico como pueda ser el agua, el gas o la electricidad. Y, al igual que estos suministros, en sus comienzos, cada uno se encargaba de sus propios suministros pero, con el tiempo, pasaron a ser proporcionados por terceros (en outsourcing), sin problemas.

Ahora bien, cualquiera de estos suministros están sujetos a unas condiciones de seguridad por las que nosotros, sus usuarios, "no nos preocupamos". Es decir, sí que me preocupo si tengo picos de tensión o sabor en el agua, pero no me ocupo de ello: Simplemente exijo unas condiciones de seguridad mínimas. Y entonces, ¿por qué no puedo actuar igual frente a los proveedores de servicios TIC? ¿Por qué no puedo exigir una red sin caídas? ¿Por qué no puedo exigir unas comunicaciones sin virus / spam / malware? ¿Por qué no puede pedir, por contrato, la ausencia de bugs? ¿Por qué no puedo requerir de mecanismos de autenticación incluidos en el propio servicio?

Yo creo que es por aquí por donde van los tiros... La verdad es que no me gusta esto de jugar a adivino, así que el tiempo nos dirá.

Desayunamos con otro robo de tarjetas

Via DarkReading, leo que en EE.UU., una cadena de supermercados (Hannaford Supermarkets) ha sufrido el robo de 4,2 millones de tarjetas en los últimos tres meses y medio (desde principios de diciembre de 2007).

Lo más curioso de esta situación es que parece que Hannaford no almacena los datos de titulares de tarjetas (!). Están investigando cómo ha sucedido y estaremos atentos a su resolución: En principio apuestan por una interceptación de las comunicaciones con el sistema de autorización... En fin ya veremos.

Un aspecto interesante es que la propia industria parece que empieza a moverse hacia una situación en que esta información sea cifrada desde el origen... ¿alguien ha oído habla de la Solución Normalizada de Cifrado de Pista?

18 marzo 2008

Mujeres y hombres somos distintos

¡Menuda perogrullada!, ¿verdad? Pues claro que somos diferentes...

Leo, vía 'El Blog Salmón', los resultados de un estudio realizado por Grupo Actual, Randstad y la Facultad de Psicología de la Universidad de Oviedo sobre el perfil de personalidad de los trabajadores actuales (o sea, todos nosotros). Sobre todo, me han resultado interesante la comparativa entre hombres y mujeres (más que entre los jóvenes y los menos-jóvenes).

Aunque en mi empresa estamos todavía un pelín lejos en el asunto de la paridad, la verdad es que, en mi área, hay un número elevado de mujeres. No sé si es porque mi madre hizo bien su trabajo (siempre ha dicho que las más machistas son las madres que educan a sus hijos en esa mentalidad) o porque la experiencia de trabajar con mujeres siempre me ha ido muy bien, lo cierto es que creo que este estudio dice verdades como puños. Ya sabemos que después, cada persona es diferente y que no se existen verdades absolutas pero, lo cierto es que, como regla general:
  • Las mujeres demuestran un elevado compromiso con finalizar lo que empiezan, sin dejar flecos y un elevado espíritu de esfuerzo, dejan menos a la improvisación y se fijan más en los pequeños detalles, además de presentar mayor cercanía con sus superiores, apoyándoles en todo lo necesario.
  • Por su parte, los hombres estamos más interesados en alcanzar puestos directivos y nos estimula controlar el trabajo de otros desde la posición de líder. Por contra, somos más ágiles en la toma de decisiones rápidas, somos más creativos y aportamos mayor cantidad de soluciones originales.
Por tanto, todos tenemos nuestras cosas buenas y nuestras cosas malas, por eso, lo mejor es contar con un mix equilibrado que nos permita aprovecharnos de la variedad. Como decía Aristóteles, "la virtud está en el justo medio".

Cada vez más SaaS

Vamos por partes... Lo primero qué es esto de SaaS. Fácil: "Software as a Service". Y lo segundo, lo que me interesaba comentar: Llevamos tiempo con el run run de que algo está cambiando. Y es que, cada vez son más los que deciden poner a disposición de los usuarios en Internet su software, bajo el modelo de servicio.

Quizás los casos más paradigmáticos (no los únicos, claro está) sean Google y Salesforce.com. Y como ejemplo Blogger (que es lo que utilizo para postear). También parece que un gigante como SAP, está en ello, pero lo que deja claro que esto es una tendencia en toda la regla es el movimiento de Microsoft en esta misma línea, ya que acaba de lanzar un servicio online para compartir documentos ofimáticos. Se denomina Microsoft Office Live Workspace y nace, como Dios manda en la Web 2.0, en versión BETA.

Tengo que decir que me recuerda mucho a SharePoint pero tampoco pasa nada... Yo lo uso habitualmente y hay que reconocerle su utilidad.

Para mi es muy interesante, porque el proyecto más importante en el que estoy trabajando está basado en la filosofía del software como servicio y cuando empezamos a trabajar en ello no lo teníamos muy claro y poder observar esta tendencia nos da a todos los que estamos trabajando en ello, bastante tranquilidad.

En definitiva, parece que el asunto de SaaS ha venido para quedarse y quien sabe, quizás es lo que está detrás del interés de Microsoft por Yahoo, ¿no?

16 marzo 2008

No hagan caso... son rumores

Llevamos un tiempo (la verdad es que demasiado) viendo cómo cambiamos la organización de mi empresa para adecuarnos a los tiempos que nos esperan (seguimos con crecimientos del 60% anuales y cada vez más orientados a servicios que a proyectos) y eso está dando lugar a todo tipo de rumores entre las personas a lo largo y ancho de la empresa...

¡Qué decir! La culpa la tenemos nosotros por alargar esto tanto tiempo, pero por otra parte, ¡hay que ver que malos son los rumores! Me recuerda a cuando jugaba al teléfono "escacharrao" de lo que era al principio a lo que llega al final... ni parecerse... Me ha recordado un post bastante coherente publicado en Pymes y Autónomos.

En fin, solo quería decir que "no hagan caso... son rumores":



15 marzo 2008

Basura digital

Sí... ya lo sé. Ya sé que tengo pendiente la entrada sobre la charla de Bruce en el ISMS Forum... Para cuando la escriba, seré abuelo ;-).

En fin, me lo han recordado 2 noticias que he leído (aquí y aquí) sobre el aumento de información (mucha de ella inservible, aka. "basura") porque Bruce comenta habitualmente el hecho de que esta circunstancia será una de las consecuencias de esta nueva Era de la Información en la que nos movemos, al igual que la contaminación es una de las consecuencias de la Revolución Industrial.

Cada vez se oyen con más fuerza las opiniones / ideas sobre las TIC ecológicas (la última vez esta semana en la jornada que tuvo en el Club de Roma) y es que nuestros descendientes nos recordarán por cómo gestionemos esta info-polución...

Una parte o el todo

Hace unos días (demasiados quizás) hablábamos sobre la seguridad en las Infraestructuras Críticas y como enfocar la situación. Pues bien, parece que no es tan descabellado, sobre todo si pensamos en la multitud de países que cuentan con oficinas (agencias) dedicadas a la protección de dichas infraestructuras y viendo noticias, como ésta o ésta, en la que vemos que los ciber-ataques no son un mito y, además del super-conocido de Alemania, los gobiernos de Australia y la India también reconocen haber sufrido ataques desde Internet.

La verdad es que esto se parece cada vez más a una película de ciencia-ficción, pero no está tan lejos de la realidad, ¿verdad?