A veces, recibo algunos correos de lectores solicitando consejos para dedicarse a la administración de sistemas. Lo primero decir que el trabajo de un administrador de sistemas es como la RENFE, te encargas de que los trenes lleguen a su hora, pero la gente no se entera de eso a menos que lleguen tarde.
Otras veces, las tareas de un administrador de sistemas no están muy claras.
Pero lo que si está claro, es que la administración de sistemas es un trabajo nada agradecido, o "thankless job" como dirían los yankis.
Imagina realizar un popurrí de tareas, únelo a la interacción con personal (cualificado y no cualificado) y manten a la vez ese equilibrio necesario de adecuación y cumplimiento de políticas internas. Es por ello que muchas veces afloran intereses opuestos de responsabilidad, tensión con los altos departamentos y necesidad de cooperación y servicio hacia los demás.
Por otra parte, en cuanto al aspecto técnico del trabajo, existen 5 estrategias en mi opinión básicas para un administrador de sistemas, las cuales se pueden aplicar en casi cualquier tarea a realizar:
1. Planealo antes de hacerlo.
2. Haz que el cambio sea reversible.
3. Crea los cambios incrementalmente.
4. Testea, testea, testea y testea antes de ponerlo en producción.
5. Aprende como funcionan las cosas realmente.
Al menos, esto es algo que he aprendido en mi corta experiencia como administrador.
¿Se os ocurre alguna más?
Is it a fake website?
27 noviembre 2007
20 noviembre 2007
4 motivos por los cuales las empresas no son seguras
Los estándares de seguridad están en auge hoy día aquí en España PCI-DSS, estándares como la ISO 27001, y otros más.. No es que vayan a resolver todos tus problemas, pero es una manera de conocer hacia donde se dirige tu organización.
En mi opinión, la mayoría de las organizaciones tienen un gran desconocimiento de los riesgos a los que se enfrentan, sobre todo aquellas con presencia en Internet, desconocen a los que se exponen, así como tambien cual sería el impacto en su negocio, pero... ¿cuales son los problemas a los que se enfrentan?:
1. Administración y gobierno: Toda la bibliografía al respecto indica lo mismo, si el CEO y el consejo de administración de una empresa no tienen la responsabilidad final de la seguridad del negocio, entonces es que no le prestan atención. En este aspecto, las tareas de un consejo de administración preocupado por la seguridad de su empresa serían: asegurar la supervivencia y solidez de la empresa a largo plazo, desde un punto de vista económico, competitivo y organizativo rigiendo principios de transparencia eficiencia colegialidad unidad y división de funciones.
La seguridad es EL problema del director. Los administradores de sistemas e ingenieros de seguridad, serían la herramienta que el director debería utilizar. Los directores tendrían que involucrarse directamente en las decisiones que conlleven riesgo. No necesitan conocer los aspectos técnicos, pero sí que riesgos se están introduciendo o disminuyendo según las acciones de la propia evolución de la empresa. No es decisión del administrador de sistemas donde invertir para mitigar riesgos. Es el director quién debería saber lo que vale en Euros la prevención de un riesgo.
Hoy día, los directores están más preocupados por otras aspectos de la empresa que en esto que estamos hablando.
2. Políticas y estándares: Lo he comentado al principio, los estándares de seguridad y las políticas no son la panacea. Hay que tener una efectiva capa de administración y gobierno para asegurar las buenas prácticas, así como tomar conciencia del entorno corporativo.
Hay que predicar con el ejemplo y nada mejor que aplicarlo en casa.
3. Conciencia del entorno: Llama la atención cuantas organizaciones presumen de ser seguras y de poseer fuertes medidas y controles de seguridad pero no tienen un concepto claro de lo que poseen. ¿Cómo puedes afirmar que tu organización es segura si ni siquiera conoces lo que tienes que proteger?. Rangos de direcciones IPs, sistemas, aplicaciones web, entornos corporativos...
4. Gestión de respuesta a incidentes: Si al final, algo falla, y ocurre un incidente de seguridad (ocurrirá), en el mejor de los casos, la compañía será consciente de lo que les ha pasado, pero si no hay un plan de acción ¿cómo va a responder rápida y efectivamente ante algún imprevisto?
Resumiendo
Puede haber mucha teoría en cuanto a la gestión de la seguridad en una organización, pero en este caso, a diferencia de muchas de las tareas de un administrador de sistemas donde lo que prima es la lógica y el sentido común, aquí hará falta un marco adecuado de medidas y políticas que englobe a todo el personal de la empresa para al final recaer toda la responsabilidad principal o la mayor parte de ella en el director y/o consejo de dirección.
En mi opinión, la mayoría de las organizaciones tienen un gran desconocimiento de los riesgos a los que se enfrentan, sobre todo aquellas con presencia en Internet, desconocen a los que se exponen, así como tambien cual sería el impacto en su negocio, pero... ¿cuales son los problemas a los que se enfrentan?:
1. Administración y gobierno: Toda la bibliografía al respecto indica lo mismo, si el CEO y el consejo de administración de una empresa no tienen la responsabilidad final de la seguridad del negocio, entonces es que no le prestan atención. En este aspecto, las tareas de un consejo de administración preocupado por la seguridad de su empresa serían: asegurar la supervivencia y solidez de la empresa a largo plazo, desde un punto de vista económico, competitivo y organizativo rigiendo principios de transparencia eficiencia colegialidad unidad y división de funciones.
La seguridad es EL problema del director. Los administradores de sistemas e ingenieros de seguridad, serían la herramienta que el director debería utilizar. Los directores tendrían que involucrarse directamente en las decisiones que conlleven riesgo. No necesitan conocer los aspectos técnicos, pero sí que riesgos se están introduciendo o disminuyendo según las acciones de la propia evolución de la empresa. No es decisión del administrador de sistemas donde invertir para mitigar riesgos. Es el director quién debería saber lo que vale en Euros la prevención de un riesgo.
Hoy día, los directores están más preocupados por otras aspectos de la empresa que en esto que estamos hablando.
2. Políticas y estándares: Lo he comentado al principio, los estándares de seguridad y las políticas no son la panacea. Hay que tener una efectiva capa de administración y gobierno para asegurar las buenas prácticas, así como tomar conciencia del entorno corporativo.
Hay que predicar con el ejemplo y nada mejor que aplicarlo en casa.
3. Conciencia del entorno: Llama la atención cuantas organizaciones presumen de ser seguras y de poseer fuertes medidas y controles de seguridad pero no tienen un concepto claro de lo que poseen. ¿Cómo puedes afirmar que tu organización es segura si ni siquiera conoces lo que tienes que proteger?. Rangos de direcciones IPs, sistemas, aplicaciones web, entornos corporativos...
4. Gestión de respuesta a incidentes: Si al final, algo falla, y ocurre un incidente de seguridad (ocurrirá), en el mejor de los casos, la compañía será consciente de lo que les ha pasado, pero si no hay un plan de acción ¿cómo va a responder rápida y efectivamente ante algún imprevisto?
Resumiendo
Puede haber mucha teoría en cuanto a la gestión de la seguridad en una organización, pero en este caso, a diferencia de muchas de las tareas de un administrador de sistemas donde lo que prima es la lógica y el sentido común, aquí hará falta un marco adecuado de medidas y políticas que englobe a todo el personal de la empresa para al final recaer toda la responsabilidad principal o la mayor parte de ella en el director y/o consejo de dirección.
19 noviembre 2007
Autenticación 2.0: La red de telefonía como esquema de autentificación remota
Imagina que estás en la web a punto de realizar una transacción importante. Después de hacer login y especificar la transacción, el sitio te presentará una página mostrándote una serie de teléfonos y preguntándote a cual de ellos puedes responder ahora mismo. Cuando seleccionas el número, el sistema crea una llamada telefónica y a los pocos segundos tú teléfono suena. El sistema sincroniza la llamada telefónica con la sesión web (para asegurar que únicamente quién responde la llamada puede completar la transacción), quizá realiza alguna autenticación adicional, y entonces un mensaje a través del teléfono te indica un código de autorización.
Este método es lo que se denomina Autenticación de factor 2, existen otros tipos de autenticación de factor 2, uno de ellos lo conocemos muy bien y lo usamos casi a diario, sí, cuando vas a sacar dinero a un cajero, lo haces mediante una tarjeta de crédito/debito (algo que tienes) y con un pin (algo que conoces). Por otra parte, cuando realizamos una transacción con nuestro banco a través de Internet, lo hacemos mediante el mecanismo más debil de autenticación, usuario/password y sobre la red, pero menos mál que los sitios online de banca utilizan el protcolo seguro HTTPS , el cual no nos sirve de nada si cualquiera tiene nuestros datos de acceso, gracias a los key-loggers, una mirada por encima del hombro o cualquier otro método que no mencionaré. Es por ello que los bancos están obligados a cambiar de esquema de autenticación de sus usuarios si no quieren seguir siendo carne de phising.
Authentify posibilita este tipo de autenticación de 2 factores, pero existen muchos otros tipos como ya he dicho anteriormente pero que los dejo como ejercicio de descubrimiento del lector. ;)
Al fin y al cabo, la red telefónica es una de las mayores infraestructuras que tenemos después de Internet.
Este método es lo que se denomina Autenticación de factor 2, existen otros tipos de autenticación de factor 2, uno de ellos lo conocemos muy bien y lo usamos casi a diario, sí, cuando vas a sacar dinero a un cajero, lo haces mediante una tarjeta de crédito/debito (algo que tienes) y con un pin (algo que conoces). Por otra parte, cuando realizamos una transacción con nuestro banco a través de Internet, lo hacemos mediante el mecanismo más debil de autenticación, usuario/password y sobre la red,
Authentify posibilita este tipo de autenticación de 2 factores, pero existen muchos otros tipos como ya he dicho anteriormente pero que los dejo como ejercicio de descubrimiento del lector. ;)
Al fin y al cabo, la red telefónica es una de las mayores infraestructuras que tenemos después de Internet.
18 noviembre 2007
Curioso anuncio de empleo en el País.
¿Te encanta el olor a código fresco por la mañana?
Este tipo de anuncio me ha hecho pensar, si hasta hace poco eran los anuncios en inglés los que ya de entrada filtraban a un gran número de posibles candidatos, ¿por qué no realizar anuncios de empleo con código XML, perl o algoritmos describiendo los requisitos de los candidatos o direcciones de contacto?. Algo así como los que ya hizo Google, pero a menor escala.
De cualquier modo, la curiosidad me llevó a descubrir un nuevo sitio social de la web 2.0
15 noviembre 2007
Culturilla básica de un informático apasionado
¿Cuántos ingenieros conocen Slashdot o Barrapunto? ¿cuántos han participado en proyectos de software libre? ¿quiénes han mirado el código que otros han desarrollado? ¿cuántos se han presentado en uno de los tantos concursos de programación? ¿cuántos leen los ensayos o artículos de Larry Wall (genio del Perl), Paul Graham (gurú de las start-ups), Joel Spolsky, Marc Andreessen (creador de Netscape) o Lawrence Lessig (creador de Creative Commons)? ¿cuántos además de hablar y exigir tanto Java desde el primer día leen el blog de Jonathan Schwartz (CEO de Sun)? ¿cuántos consultan o colaboran con la Wikipedia? ¿cuántos están deseosos de hacer programas que lo use "la gente" que no "las empresas"?
Yo añadiría; ¿Cuantos siguen de cerca un proyecto Open Source aunque al principio sólo sea como observador? ¿Cuantos conocen los beneficios de participar en ese tipo de proyectos?
¿cuantos gastan todas las posibilidades de solucionar algo antes que preguntar?.
Un consejo, si has terminado o estás terminando la carrera de informática o telecomunicaciones y de verdad te apasiona, no seas carne de becario, avanza y participa en un proyecto Open Source. Hay miles.
Yo añadiría; ¿Cuantos siguen de cerca un proyecto Open Source aunque al principio sólo sea como observador? ¿Cuantos conocen los beneficios de participar en ese tipo de proyectos?
¿cuantos gastan todas las posibilidades de solucionar algo antes que preguntar?.
Un consejo, si has terminado o estás terminando la carrera de informática o telecomunicaciones y de verdad te apasiona, no seas carne de becario, avanza y participa en un proyecto Open Source. Hay miles.
07 noviembre 2007
¿Qué ocurre cuando unos hackers intentan gastar una broma (defacement) a su maestro?
HA.CKERS.ORG es un gran blog sobre seguridad, Robert Hansen aka RSnake está detrás de él, realiza una gran contribución a la seguridad de las aplicaciones web a través de su blog y con numerosos artículos que ha escrito.
Ha construido toda una comunidad alrededor de su blog, siempre con sanas discusiones sobre los artículos escritos en su web. Pero dos lectores asiduos, intentaron gastarle una broma, (él no se la tomo así) sin éxito.
¿Qué les ocurrio?
Mejor, leerlo en la entrada original Owning ha.ckers or not, no tiene desperdicio. Esos "guys" se lo pensarán antes de intentar hacer otra cosa similar. :D
Ha construido toda una comunidad alrededor de su blog, siempre con sanas discusiones sobre los artículos escritos en su web. Pero dos lectores asiduos, intentaron gastarle una broma, (él no se la tomo así) sin éxito.
¿Qué les ocurrio?
Mejor, leerlo en la entrada original Owning ha.ckers or not, no tiene desperdicio. Esos "guys" se lo pensarán antes de intentar hacer otra cosa similar. :D
Suscribirse a:
Entradas (Atom)