miércoles, 4 de junio de 2014
Defensa en Profundidad - Defense in Depth
Defensa en Profundidad
Comprendiendo el Riesgo del Negocio
Muchos expertos en Seguridad dicen que ésta es complicada. La Seguridad no lo es. Seguridad puede ser resumida en dos palabras sencillas: Gestión de riesgos. Esto no es acerca de eliminación de riesgo, sino acerca de mitigación de riesgos.
Antes de entrar en la Jerga de la Seguridad, deseamos que piense realmente este concepto. Si usted NO comprende el riesgo, usted no entenderá la seguridad, y si usted no entiende la seguridad, entonces el concepto de Defensa en Profundidad no tendrá sentido para usted.
El riesgo es la imagen grande. Hay muchas metodologías para valorar el riesgo. Seguro es difícil pedir que comprenda cosas como la valoración de los activos, la expectativa anual de la pérdida, ROI, etc., pero se necesitan para comprender sinceramente el riesgo antes de poder adentrarnos en él.
Figura 1. La vista general de la Defensa de Microsoft el Modelo en profundidad
Capa 1 Las Políticas, los Procedimientos y el Conocimiento (La Corteza)
Todos recordamos al Señor de la trilogía de película de los Anillos, cuando los tipos malos asaltaban el castillo. Los defensores pudieron utilizar un modelo de defensa en profundidad para mantener a los atacantes en el extremo. Los atacantes se abrían camino por una pared, y los defensores se retiraban detrás de otra. Aquí aplica la misma cosa. La primera y mejor inversión que usted puede hacer está alrededor de la Capa 1: Las políticas, los Procedimientos, y el Conocimiento.
Se trata del establecimiento de algunas políticas de seguridad y buenas prácticas escritas como una Política en toda la empresa de Uso. Consiga apoyo ejecutivo para su política, y esto ayudará para cualquier complicación.
Lo mejor para la Alta Gerencia (El rendimiento de la Inversión para nuestros amigos del negocio) en el mundo de seguridad es una campaña de concienciación fuerte y creadora de seguridad. Los usuarios se olvidan rápidamente de las lecciones aprendidas durante la instrucción de seguridad anual. Los concursos, quizzes, los premios, los boletines, videos graciosos — éstos son sólo algunos de las cosas que usted puede hacer en un presupuesto apretado.
Capa 2: Seguridad física (Puertas, Guardias y Fusiles)
La Seguridad física es una capa que nosotros como personas tendemos a pasar por alto. Nosotros no tenemos la visión para cosas como la vigilancia de video, las cerraduras, los guardias y las puertas magnéticas. Pero esto no hace esta capa menos importante.
¿Cuántas veces ha sido robado un ordenador portátil en su compañía? ¿Supo usted que todos los años en la convención grande de pirata informático en Las Vegas, DEFCON, el concurso de violar cerraduras es uno de los más populares? ¿Por qué es eso?
Cuando la Seguridad y la Tecnología física comienzan a más ser integrados, es importante que comprendamos cómo trabaja cada uno. Esta discusión de “convergencia” consigue mucho ruido.
Las personas de seguridad física corren la vigilancia de video por IP, y estos paquetes ahora atraviesan su red. Lo mismo ocurre con los registros o Logs de acceso físico a los edificios que son almacenados en sus servidores. El concepto de seguridad física es uno que necesitamos conocer para estar más enterados en nuestros Trabajos.
Gaste algún tiempo y hable con las personas que trabajan en esta área. Encuentre un capítulo local de la Sociedad norteamericana para la Seguridad Industrial (ASIS) y el búsquese ir a una reunión.
Capa 3: Seguridad de perímetro (Viviendo al borde)
No entraremos a discutir las tecnologías de Firewall ni Gateways de Aplicación. Usted sabe lo que esas cosas hacen, y ellos son críticos para proteger el perímetro.
¿Deseo que usted piense fuera de la caja por un momento y considere, si usted hace, qué sucedería si nosotros nos deshacemos simplemente de nuestro perímetro enteramente? ¿Qué si podríamos eliminarnos aún las cosas como VPNs (que reduce la eficacia de su cortafuegos abriendo los puertos) y las conexiones de RAS?
Esta idea es de mucho interés, especialmente con grupos como el Proyecto de Jericó.
Capa 4: Seguridad de la Red (Protegiendo Su Casa)
Fue un nuevo día en la seguridad Informática el día que alguien conectó dos computadoras juntas a través de un cable. Por supuesto, aumentó productividad, pero también aumentó el riesgo.
Por supuesto, asegurar la red es restringiendo quien puede hablar con quién. Uno de las mejores maneras de hacer esto es de utilizar una tecnología que insinué anteriormente: Seguridad de IP, más exactamente como IPSec.
IPSec es simplemente un mecanismo que permite el Sistema Operativo para hablar seguro por un canal cifrado. IPSec tiene en esencia dos modos: El Modo del transporte, que es utilizado para conexiones extremo a extremo, y el Modo de Túnel, que es utilizado para conexiones uno a uno
Con esto podemos aislar quien se comunica con quien.
Capa 5: Seguridad en el Host – Servidor(Salve la Caja, Salve la Red)
Usted está loco si no está protegiendo los servidores que corren sus aplicaciones de negocio-críticos. Permítanos decirle una cosa pequeña en esta área, sin embargo. Es el concepto de seguridad de la Virtualización.
Allí hay una ayuda para sacar actualmente algunas soluciones de virtualización en un esfuerzo de consolidar servidores. Gran idea. Nosotros no podemos dejar pasar la importancia y la necesidad para asegurar las máquinas virtuales (VM) y el anfitrión que reside en ellos. Se escucha a menudo un conjunto de suposiciones inexactas como que el si el anfitrión es seguro, La Máquina Virtual -VM es segura” y otros cuentos de hadas.
Con respecto a la seguridad, usted necesita tratar estas máquinas virtuales como servidores físicos. Que corran antivirus dentro del VM. Que medios utilizan ACLs para cerrar hacia abajo lo que pueda modificar los archivos de config.
Capa 6: Seguridad de aplicación (Si Usted Lo Construye…Asegurado, Ellos no Entrarán)
Cada vez es más difícil evitar los ataques exitosos contra sistemas operativos y software comercial. Metodologías para desarrollar Software Seguro como nuestro Ciclo vital del Desarrollo de Seguridad (SDLC), son usados cada vez más.
¿Qué hace un atacante? Sencillo. Ellos se comienzan a concentrar en sus aplicaciones hechas en casa (In house) o de encargo e internas que usted ha escrito.
Los desarrolladores escogen añadir simplemente un “username y la contraseña poco antes de sacarla a producción en toda la empresa.
Si su equipo de Desarrollo no aplica la codificación segura de algún tipo o la metodología dentro de su propia compañía, no es un asunto de si Usted no ha sido Comprometido, Es un asunto de cuando lo será.
Capa 7: Seguridad de los datos
Hemos llegado al final de un viaje asombroso, pero este último paso es probablemente el más crítico. Nuestra misión clave es la Protección de Datos.
¿Qué hace usted para asegurar los datos? Una de las cosas más fáciles que usted puede hacer es usar la estrategia de algún tipo de codificación para sus datos.
Si su información es valiosa necesitará codificarla. Dígale esto al director general y yo apuesto él tiene algún amor para la codificación. La codificación es simplemente demasiado fácil de aplicar para ignorar y, dadas las amenazas y los ataques diversos que existen, acaban teniendo sentido.
Conclusión
Defensa en profundidad es un modelo crucial para aplicar la seguridad efectiva de la información.
Traducido y adaptado por José A. Tomado de: http://www.microsoft.com/technet/community/columns/secmgmt/default.mspx
jueves, 11 de agosto de 2011
Como pasar el examen de PMP?
Me atrevo a escribir esta entrada con la esperanza de ayudar y motivar a quienes como yo, viven ocupados y acorralados por las ocupaciones personales y profesionales, dejando pasar el tiempo con el temor de no presentar el examen hasta NO HABER ESTUDIADO LO SUFICIENTE.
Esa es mi historia. Soy PMP recién certificado. Presenté el examen el 27 de Julio de 2011, cuando ya estaba ad portas de acabarse el año de plazo que el PMI te impone luego de declararte elegible para presentar el examen. Así es, el plazo se me acababa el 1 de Agosto. El 27 de julio era el último día disponible en Prometrics cerca a Bogotá Colombia.
- Mi proceso:
Todo empezó tres años atrás cuando en la empresa donde trabajaba, decidieron montar la PMO, asesorados por una empresa que trabaja con la metodología PMI. En esa oportunidad nos dictaron una charla de 8 horas con el enfoque de PMI. En ese entonces me pareció una oportunidad para certificarme. Sin embargo no le dediqué ni el tiempo ni el dinero (así es, eso cuesta).
- Nada que arranco:
Con un buen amigo, con el que asistí a la charla, nos propusimos estudiar el PMBOK en las horas libres y en el almuerzo, pero en realidad nunca logramos arrancar. Sin embargo con la ayuda de la PMO que se acababa de montar en la empresa, empezamos a manejar los conceptos básicos y principales del PMBOK, como los stakeholders, las fases del proyecto, las 9 áreas de conocimiento etc.
- El cambio de versión:
En esa oportunidad hace tres años, teniamos disponible la edicion 3 del PMBOK. Sin embargo el PMI pasó a la versión 4 y eso nos frenó un poco, pues ya no valía la pena seguir leyendo el libro que habiamos empezado.
Así fue que decidí vincularme oficialmente el PMI y pagar la membresía anual para tener la versión actualizada del PMBOK.
PRIMER CONSEJO: Afiliate al PMI y paga el fee anual (100 Dolares). Esto te genera un sentimiento de filiación y cada mes el boletin mensual te recuerda que debes apuntar a la certificación.
SEGUNDO CONSEJO: Afiliate al capítulo de tu ciudad o país (20 dolares). Yo no me inscribí en el capítulo de Bogota en esa oporutnidad pues consideré eso como un gasto. Sin embargo, las ofertas de trabajo, que te llegan directamente del capítulo de tu ciudad, te van animando a seguir estudiando para la certificación. En el segundo año, quise probar y ahora estoy inscrito en él. La verdad no le veo más ventajas.
TERCER CONSEJO: Toma un curso de Preparación para el examen del PMI. Además porque es un requisito para certificarte tener capacitación sobre la metodologìa del PMI, de por lo menos 32 horas.
Aqui debo decirles que miré todas las opciones. En global knowledge, en las Universidades locales, en empresas de capacitación etc. Conocí un curso donde siguen a Rita, dura 5 días full time, y "garantizan" el exito en el examen, pero me costaba casi 2.600 dólares. Por razones de trabajo y ECONOMICAS, no lo tomé.
A cambio encontré un curso económico, de una ingeniera Colombiana, que decía que tenía el único Libro de Preparación para el examen en Español. Creo que me costó 800 dolares y duró 24 horas. Asi que lo tomé. Las ayudas, tales como juegos, crucigramas y el mismo libro que me entregaron eran una base para asimilar en gran parte la terminologia y conceptos del PMI, pero siendo sinceros no lo suficiente para lanzarse al examen.
CUARTO CONSEJO: El curso no es suficiente, a menos que ya hayas leído el PMBOK, y lo hayas interiorizado o lleves mucho tiempo manejando proyectos, o estés en una empresa donde existe una PMO que sigue la metodología.
Con este curso, tampoco me sentía seguro para presentarme al examen y arriesgar los 500 Dolares que cuesta. Asi que me convencì a mi mismo de seguir estudiando por mi cuenta. RESULTADO: No estudié nada :-(, el trabajo, la familia, no dejan tiempo.
Así que pasó un año, como afiliado al PMI y no presenté exámen. Gentilmente el PMI te recuerda que debes renovar tu afiliación. La renové con la esperanza de presentarlo este año.
QUINTO CONSEJO: Llena tu formulario de elegibilidad para el exámen, así no tengas planeada la fecha ni el pago. Es un proceso largo y tedioso, y necesitas tener claro las fechas y los rols y tareas que cumpliste como parte de proyectos en tus empresas. El requisito es cumplir más de 3600 horas de proyectos en los últimos cuatro años. Además se debe llenar en Inglés, así que si no sabes el idioma, pide ayuda a un amigo o familiar. El proceso no lo inicies en la oficina, pues es tan largo, que posiblemente tu trabajo, o tu jefe no te dejen completarlo :-( .
Te recomiendo, hacer el ejercicio en un documento aparte, donde expliques las fechas, rol, cargo, empresa y funciones que cumpliste en cada proyecto. Luego te sientas y haces copy/paste en la página del PMI.
Una vez completes el proceso, el PMI te enviará un correo donde te declara elegible para presentar el examen. Si estás de mala suerte, el PMI te hará auditoria de todo lo que pusiste en la página y te solicitará documentos y referencias que debes enviar.
SEXTO CONSEJO: Solo coloca lo que puedas justificar con documentos, con tus antiguos jefes y amigos.
SEPTIMO CONSEJO: Una vez te declaran elegible, tienes exactamente un año, para pagar y presentar el examen. En mi caso, el año se me pasó y me vi obligado a estudiar casi 19 horas diarias durante tres semanas para poder cubrir todos los temas.
OCTAVO CONSEJO: En el curso que tomaste, siempre te recomiendan que tomes el examen como un proyecto. Es decir que hagas un cronograma que tu mismo debes cumplir y exigirte con fechas claras y precisas. En mi caso, como el año se me acababa, hice un cronograma super apretado, en donde tenia que cubrir un capitulo por dia....Y NO ME ALCANZO EL TIEMPO :-(
NOVENO CONSEJO: No volví a tocar el PMBOK desde hace casi dos años. En cambio, compré por Internet el Libro de Preparación de Rita Mulcahy. DEBO DECIR QUE LO RECOMIENDO POR COMPLETO, POR ENCIMA DEL MISMO PMBOK. Me costo casi 50 dolares y el envio internacional solo 10 dolares o menos. Tiene casi 40 preguntas por area de conocimiento, es decir casi 400 preguntas que te dejan ver si estas asimilando todo y si eres capaz de presentar el examen. No quiero decir que el PMBOK no sirve, pero en mi caso, el tiempo era tan apretado que no tuve tiempo ni siquiera de volver a verlo. Y pasé.
DECIMO CONSEJO: El PMBOK no te dice el enfoque del examen, ni el tipo de proyectos que evalúan. En cambio Rita (Q:E:P:D:) te dice el enfoque que debes tener presente, que debe pensar el gerente de proyectos con la visión gringa (PMI), la concepción de ética que debes responder etc....OTRA VEZ LO RECOMIENDO.
11 CONSEJO: SECUENCIA, TIEMPO, DEDICACION, CONCENTRACION. En mi caso, por coyuntura personal, renuncie a mi trabajo por consiguiente no solo tenia el tiempo sino la dedicación y concentración para poder estudiar. Yo creo que esto fue lo que me permitió cumplir con la meta y el cronograma tan apretado de estudio.
Mi cronograma me daba 3 semanas para estudiarme el libro de Rita. Y la verdad me fui colgando en tiempo, asi que tuve que tomar decisiones radicales: 18 horas de estudio, de dia y de noche. Sabados y Domingos y festivos. Mientras todos miraban los partidos de la Copa América, yo estudiaba de dia y de noche. Otra cosa que me tomaba tiempo, es que recuerden....Rita está en Inglés.
CReo que tomaba 14 tazas de café al día para poder seguir estudiando. Cuando estaba saturado, me tomaba descando de media hora o maximo una hora, miraba televisión o me iba a dar una vuelta al barrio.
12 CONSEJO: Estudiar en ambientes diferentes. Cuando en la casa empiezan a hacer ruido de dia, o llegan visitas inesperadas o ya te sientes oprimido, intenta estudiar en una Cafetería, tomando Café por supuesto. Esto te permite cambiar de ambiente y te dá un respiro.
13 CONSEJO. CREO QUE EL MAS IMPORTANTE: Paga tu examen de una vez, con eso tienes una fecha que cumplir y no puedes correrla. Ya te he dicho que en mi caso, tuve solo tres semanas para estudiar y FUNCIONO.
14 CONSEJO: Este consejo es de Rita. No estudies el último día antes del examen. Dedicalo a visitar el centro prometrics para saber como llegar (en colombia es muy necesario pues queda fuera de bogota).En mi caso, termine el último capítulo del libro, a las 2:30 de la madrugada y cerré el libro, anoté las formulas que debes memorizar y no volví a repasar nada.
15 CONSEJO: Las 4 horas son casi que exactas para presentar el examen. DESAYUNA MUY BIEN, pues en mi caso, tuve que levantarme a las 5:30 am., viajar dos horas y media y llegué sin desayunar a las 8:30 a.m. Media hora antes del examen. Suficiente para un cafe con leche y algo de comer. Al entrar a las 9:00 se toman media hora en acomodar a los candidatos y dar a conocer las instrucciones, por lo tanto si sumas todo eso, en mi caso fueron mas de 7 horas y media para presentarlo desde que me levante de mi cama. Cuando sali eran casi las 2:00 pm.
EN EL EXAMEN: Iniciar es complicado, pues no tienes impulso ni estas midiendo el tiempo (recuerda que no tienes reloj). Te recomiendo hacer el siguiente ejercicio: Cuando lleves una hora de examen, tienes que haber respondido 50 preguntas. a las Dos horas debes llevar 100 preguntas. Con este parámetro sabes si te estas colgando en tiempo o si vas bien. En mi caso estaba casi ajustado cuando iba en una hora, lo que me obligó a no releer tanto y darle màs agilidad a las respuestas para no colgarme.
12 CONSEJO: Usa la marca de preguntas, cuando dudes y sigue adelante. Cuando no sepas una respuesta, no la olvides, anota alguna palabra clave en el papel, y posiblemente en las preguntas futuras, te resuelvan la duda.....
13 CONSEJO: TAN PRONTO LLEGUES AL EXAMEN, ANOTA LAS FORMULAS EN EL PAPEL. Con eso no tienes que voler a pensar en ellas, simplemente las miras y haces las operaciones en cada pregunta.
14 CONSEJO: No temas a las preguntas de Earned Value, CPI, SPI, etc. Rita te dará la clave para esas preguntas sin tener que pensar demasiado. Todo lo contrario, con esos consejos, si manejas rapido la calculadora, puedes gastar menos de 30 segundos respondiendolas. Y ganas tiempo. La mayoría de las personas, aqui pierden tiempo pues llegan asustadas....
15 CONSEJO: Trata de no llevar comida (onces, menaje, algo, etc) pues llegas predispuesto a pedir permiso para levantarte y gastar tiempo valioso "descansando". entra al baño antes de ingresar a la sala. En mi caso, segui derecho las 4 horas (3 y 45 minutos, repasando las preguntas marcadas) y así pude responder las 200 preguntas y me sobró tiempo.
16 CONSEJO: Responde los cuestionarios de Rita, con sumo cuidado y conciencia. No importa que te equivoques. En mi caso el grado de acierto con Rita pudo ser del 60 o 70% en cada capítulo, lo que me dió mucha confianza en que podía pasar el examen.
17 CONSEJO: Muchas personas leen el PMBOK, luego compran y leen Rita, luego leen Crosswind, y luego compran material por Internet y presentan examenes en Línea. En mi caso por el factor tiempo, no pude hacer ni lo uno ni lo otro. Y FUNCIONO. Asi que mi consejo es que no pierdas tiempo leyendo y comprando tantas fuentes. Basate en una sola, pero que sea buena.
18 CONSEJO: arranca ya a certificarte, no pierdas dos años como en mi caso, esperando tener tiempo, esperando tener plata (todo lo pague con Tarjeta de credito) y MUCHA SUERTE.
Esa es mi historia. Soy PMP recién certificado. Presenté el examen el 27 de Julio de 2011, cuando ya estaba ad portas de acabarse el año de plazo que el PMI te impone luego de declararte elegible para presentar el examen. Así es, el plazo se me acababa el 1 de Agosto. El 27 de julio era el último día disponible en Prometrics cerca a Bogotá Colombia.
- Mi proceso:
Todo empezó tres años atrás cuando en la empresa donde trabajaba, decidieron montar la PMO, asesorados por una empresa que trabaja con la metodología PMI. En esa oportunidad nos dictaron una charla de 8 horas con el enfoque de PMI. En ese entonces me pareció una oportunidad para certificarme. Sin embargo no le dediqué ni el tiempo ni el dinero (así es, eso cuesta).
- Nada que arranco:
Con un buen amigo, con el que asistí a la charla, nos propusimos estudiar el PMBOK en las horas libres y en el almuerzo, pero en realidad nunca logramos arrancar. Sin embargo con la ayuda de la PMO que se acababa de montar en la empresa, empezamos a manejar los conceptos básicos y principales del PMBOK, como los stakeholders, las fases del proyecto, las 9 áreas de conocimiento etc.
- El cambio de versión:
En esa oportunidad hace tres años, teniamos disponible la edicion 3 del PMBOK. Sin embargo el PMI pasó a la versión 4 y eso nos frenó un poco, pues ya no valía la pena seguir leyendo el libro que habiamos empezado.
Así fue que decidí vincularme oficialmente el PMI y pagar la membresía anual para tener la versión actualizada del PMBOK.
PRIMER CONSEJO: Afiliate al PMI y paga el fee anual (100 Dolares). Esto te genera un sentimiento de filiación y cada mes el boletin mensual te recuerda que debes apuntar a la certificación.
SEGUNDO CONSEJO: Afiliate al capítulo de tu ciudad o país (20 dolares). Yo no me inscribí en el capítulo de Bogota en esa oporutnidad pues consideré eso como un gasto. Sin embargo, las ofertas de trabajo, que te llegan directamente del capítulo de tu ciudad, te van animando a seguir estudiando para la certificación. En el segundo año, quise probar y ahora estoy inscrito en él. La verdad no le veo más ventajas.
TERCER CONSEJO: Toma un curso de Preparación para el examen del PMI. Además porque es un requisito para certificarte tener capacitación sobre la metodologìa del PMI, de por lo menos 32 horas.
Aqui debo decirles que miré todas las opciones. En global knowledge, en las Universidades locales, en empresas de capacitación etc. Conocí un curso donde siguen a Rita, dura 5 días full time, y "garantizan" el exito en el examen, pero me costaba casi 2.600 dólares. Por razones de trabajo y ECONOMICAS, no lo tomé.
A cambio encontré un curso económico, de una ingeniera Colombiana, que decía que tenía el único Libro de Preparación para el examen en Español. Creo que me costó 800 dolares y duró 24 horas. Asi que lo tomé. Las ayudas, tales como juegos, crucigramas y el mismo libro que me entregaron eran una base para asimilar en gran parte la terminologia y conceptos del PMI, pero siendo sinceros no lo suficiente para lanzarse al examen.
CUARTO CONSEJO: El curso no es suficiente, a menos que ya hayas leído el PMBOK, y lo hayas interiorizado o lleves mucho tiempo manejando proyectos, o estés en una empresa donde existe una PMO que sigue la metodología.
Con este curso, tampoco me sentía seguro para presentarme al examen y arriesgar los 500 Dolares que cuesta. Asi que me convencì a mi mismo de seguir estudiando por mi cuenta. RESULTADO: No estudié nada :-(, el trabajo, la familia, no dejan tiempo.
Así que pasó un año, como afiliado al PMI y no presenté exámen. Gentilmente el PMI te recuerda que debes renovar tu afiliación. La renové con la esperanza de presentarlo este año.
QUINTO CONSEJO: Llena tu formulario de elegibilidad para el exámen, así no tengas planeada la fecha ni el pago. Es un proceso largo y tedioso, y necesitas tener claro las fechas y los rols y tareas que cumpliste como parte de proyectos en tus empresas. El requisito es cumplir más de 3600 horas de proyectos en los últimos cuatro años. Además se debe llenar en Inglés, así que si no sabes el idioma, pide ayuda a un amigo o familiar. El proceso no lo inicies en la oficina, pues es tan largo, que posiblemente tu trabajo, o tu jefe no te dejen completarlo :-( .
Te recomiendo, hacer el ejercicio en un documento aparte, donde expliques las fechas, rol, cargo, empresa y funciones que cumpliste en cada proyecto. Luego te sientas y haces copy/paste en la página del PMI.
Una vez completes el proceso, el PMI te enviará un correo donde te declara elegible para presentar el examen. Si estás de mala suerte, el PMI te hará auditoria de todo lo que pusiste en la página y te solicitará documentos y referencias que debes enviar.
SEXTO CONSEJO: Solo coloca lo que puedas justificar con documentos, con tus antiguos jefes y amigos.
SEPTIMO CONSEJO: Una vez te declaran elegible, tienes exactamente un año, para pagar y presentar el examen. En mi caso, el año se me pasó y me vi obligado a estudiar casi 19 horas diarias durante tres semanas para poder cubrir todos los temas.
OCTAVO CONSEJO: En el curso que tomaste, siempre te recomiendan que tomes el examen como un proyecto. Es decir que hagas un cronograma que tu mismo debes cumplir y exigirte con fechas claras y precisas. En mi caso, como el año se me acababa, hice un cronograma super apretado, en donde tenia que cubrir un capitulo por dia....Y NO ME ALCANZO EL TIEMPO :-(
NOVENO CONSEJO: No volví a tocar el PMBOK desde hace casi dos años. En cambio, compré por Internet el Libro de Preparación de Rita Mulcahy. DEBO DECIR QUE LO RECOMIENDO POR COMPLETO, POR ENCIMA DEL MISMO PMBOK. Me costo casi 50 dolares y el envio internacional solo 10 dolares o menos. Tiene casi 40 preguntas por area de conocimiento, es decir casi 400 preguntas que te dejan ver si estas asimilando todo y si eres capaz de presentar el examen. No quiero decir que el PMBOK no sirve, pero en mi caso, el tiempo era tan apretado que no tuve tiempo ni siquiera de volver a verlo. Y pasé.
DECIMO CONSEJO: El PMBOK no te dice el enfoque del examen, ni el tipo de proyectos que evalúan. En cambio Rita (Q:E:P:D:) te dice el enfoque que debes tener presente, que debe pensar el gerente de proyectos con la visión gringa (PMI), la concepción de ética que debes responder etc....OTRA VEZ LO RECOMIENDO.
11 CONSEJO: SECUENCIA, TIEMPO, DEDICACION, CONCENTRACION. En mi caso, por coyuntura personal, renuncie a mi trabajo por consiguiente no solo tenia el tiempo sino la dedicación y concentración para poder estudiar. Yo creo que esto fue lo que me permitió cumplir con la meta y el cronograma tan apretado de estudio.
Mi cronograma me daba 3 semanas para estudiarme el libro de Rita. Y la verdad me fui colgando en tiempo, asi que tuve que tomar decisiones radicales: 18 horas de estudio, de dia y de noche. Sabados y Domingos y festivos. Mientras todos miraban los partidos de la Copa América, yo estudiaba de dia y de noche. Otra cosa que me tomaba tiempo, es que recuerden....Rita está en Inglés.
CReo que tomaba 14 tazas de café al día para poder seguir estudiando. Cuando estaba saturado, me tomaba descando de media hora o maximo una hora, miraba televisión o me iba a dar una vuelta al barrio.
12 CONSEJO: Estudiar en ambientes diferentes. Cuando en la casa empiezan a hacer ruido de dia, o llegan visitas inesperadas o ya te sientes oprimido, intenta estudiar en una Cafetería, tomando Café por supuesto. Esto te permite cambiar de ambiente y te dá un respiro.
13 CONSEJO. CREO QUE EL MAS IMPORTANTE: Paga tu examen de una vez, con eso tienes una fecha que cumplir y no puedes correrla. Ya te he dicho que en mi caso, tuve solo tres semanas para estudiar y FUNCIONO.
14 CONSEJO: Este consejo es de Rita. No estudies el último día antes del examen. Dedicalo a visitar el centro prometrics para saber como llegar (en colombia es muy necesario pues queda fuera de bogota).En mi caso, termine el último capítulo del libro, a las 2:30 de la madrugada y cerré el libro, anoté las formulas que debes memorizar y no volví a repasar nada.
15 CONSEJO: Las 4 horas son casi que exactas para presentar el examen. DESAYUNA MUY BIEN, pues en mi caso, tuve que levantarme a las 5:30 am., viajar dos horas y media y llegué sin desayunar a las 8:30 a.m. Media hora antes del examen. Suficiente para un cafe con leche y algo de comer. Al entrar a las 9:00 se toman media hora en acomodar a los candidatos y dar a conocer las instrucciones, por lo tanto si sumas todo eso, en mi caso fueron mas de 7 horas y media para presentarlo desde que me levante de mi cama. Cuando sali eran casi las 2:00 pm.
EN EL EXAMEN: Iniciar es complicado, pues no tienes impulso ni estas midiendo el tiempo (recuerda que no tienes reloj). Te recomiendo hacer el siguiente ejercicio: Cuando lleves una hora de examen, tienes que haber respondido 50 preguntas. a las Dos horas debes llevar 100 preguntas. Con este parámetro sabes si te estas colgando en tiempo o si vas bien. En mi caso estaba casi ajustado cuando iba en una hora, lo que me obligó a no releer tanto y darle màs agilidad a las respuestas para no colgarme.
12 CONSEJO: Usa la marca de preguntas, cuando dudes y sigue adelante. Cuando no sepas una respuesta, no la olvides, anota alguna palabra clave en el papel, y posiblemente en las preguntas futuras, te resuelvan la duda.....
13 CONSEJO: TAN PRONTO LLEGUES AL EXAMEN, ANOTA LAS FORMULAS EN EL PAPEL. Con eso no tienes que voler a pensar en ellas, simplemente las miras y haces las operaciones en cada pregunta.
14 CONSEJO: No temas a las preguntas de Earned Value, CPI, SPI, etc. Rita te dará la clave para esas preguntas sin tener que pensar demasiado. Todo lo contrario, con esos consejos, si manejas rapido la calculadora, puedes gastar menos de 30 segundos respondiendolas. Y ganas tiempo. La mayoría de las personas, aqui pierden tiempo pues llegan asustadas....
15 CONSEJO: Trata de no llevar comida (onces, menaje, algo, etc) pues llegas predispuesto a pedir permiso para levantarte y gastar tiempo valioso "descansando". entra al baño antes de ingresar a la sala. En mi caso, segui derecho las 4 horas (3 y 45 minutos, repasando las preguntas marcadas) y así pude responder las 200 preguntas y me sobró tiempo.
16 CONSEJO: Responde los cuestionarios de Rita, con sumo cuidado y conciencia. No importa que te equivoques. En mi caso el grado de acierto con Rita pudo ser del 60 o 70% en cada capítulo, lo que me dió mucha confianza en que podía pasar el examen.
17 CONSEJO: Muchas personas leen el PMBOK, luego compran y leen Rita, luego leen Crosswind, y luego compran material por Internet y presentan examenes en Línea. En mi caso por el factor tiempo, no pude hacer ni lo uno ni lo otro. Y FUNCIONO. Asi que mi consejo es que no pierdas tiempo leyendo y comprando tantas fuentes. Basate en una sola, pero que sea buena.
18 CONSEJO: arranca ya a certificarte, no pierdas dos años como en mi caso, esperando tener tiempo, esperando tener plata (todo lo pague con Tarjeta de credito) y MUCHA SUERTE.
miércoles, 14 de julio de 2010
Separacion de ambientes
Para muchos suena extraño el tema de separar ambientes como requisito de control de la Norma ISO27001.
Incluso muchos de nosotros mal entendemos el concepto. Veamos una explicación sencilla de lo que significa Separacion de ambientes.
Que son ambientes?
En TI; los ambientes se conocen como aquellos recursos destinados a:
1. Producción
2. Aseguramiento de Calidad o QA
3. Desarrollo
4. Pruebas
El primer error que cometemos es confundir los términos QA con Pruebas y/o Desarrollo.
El segundo error es confundir el tipo de datos que emplea cada ambiente.
El tercer error es pretender que cualquier PC o servidor pequeño con disco local puede ser un ambiente de QA o incluso Pruebas o desarrollo.
Quizá la plataforma a nivel mundial que mantiene y exige todos sus ambientes como parte integral de la solución es SAP.
Aunque es una Mejor Práctica y forma parte de sus exigencias contractuales, esto convierte a SAP generalmente en una plataforma costosa, debido a la cantidad de infraestructura que requiere. Pero, los costos se justifican por la estabilidad, seriedad y calidad de la solución la cual no podría ser garantizada si estos ambientes no estuvieran presentes.
Como dijimos, los ambientes son los recursos necesarios dirigidos a cubrir las demandas de la plataforma en todo su ciclo de vida.
Estos recursos son Procesamiento, Almacenamiento e infraestructrua de red. Así como las personas y los procesos.
Separar ambientes requiere un rediseño de la red. Si queremos ser estrictos a nivel de controles de la ISO27001, separar ambientes no es solo tener máquinas dedicadas, sino también tener segmentos de red separados que aislen esos recursos y contribuyan a que los procesos de ITIL, como Gestión del Cambio o Paso a Producción sean seguidos por todos.
Incluso, yendo un poco más allá, algunas empresas no enrutan sus segmentos dedicados a Pruebas y Desarrollo, para evitar el trasteo de datos de un ambiente a otro, sin el control adecuado.
Incluso muchos de nosotros mal entendemos el concepto. Veamos una explicación sencilla de lo que significa Separacion de ambientes.
Que son ambientes?
En TI; los ambientes se conocen como aquellos recursos destinados a:
1. Producción
2. Aseguramiento de Calidad o QA
3. Desarrollo
4. Pruebas
El primer error que cometemos es confundir los términos QA con Pruebas y/o Desarrollo.
El segundo error es confundir el tipo de datos que emplea cada ambiente.
El tercer error es pretender que cualquier PC o servidor pequeño con disco local puede ser un ambiente de QA o incluso Pruebas o desarrollo.
Quizá la plataforma a nivel mundial que mantiene y exige todos sus ambientes como parte integral de la solución es SAP.
Aunque es una Mejor Práctica y forma parte de sus exigencias contractuales, esto convierte a SAP generalmente en una plataforma costosa, debido a la cantidad de infraestructura que requiere. Pero, los costos se justifican por la estabilidad, seriedad y calidad de la solución la cual no podría ser garantizada si estos ambientes no estuvieran presentes.
Como dijimos, los ambientes son los recursos necesarios dirigidos a cubrir las demandas de la plataforma en todo su ciclo de vida.
Estos recursos son Procesamiento, Almacenamiento e infraestructrua de red. Así como las personas y los procesos.
Separar ambientes requiere un rediseño de la red. Si queremos ser estrictos a nivel de controles de la ISO27001, separar ambientes no es solo tener máquinas dedicadas, sino también tener segmentos de red separados que aislen esos recursos y contribuyan a que los procesos de ITIL, como Gestión del Cambio o Paso a Producción sean seguidos por todos.
Incluso, yendo un poco más allá, algunas empresas no enrutan sus segmentos dedicados a Pruebas y Desarrollo, para evitar el trasteo de datos de un ambiente a otro, sin el control adecuado.
lunes, 30 de noviembre de 2009
Sun Tzu y la Seguridad
Dos mil quinientos años después el legado del General chino Sun Tzú sigue vigente a la hora de trazar estrategias para "resolver" o afrontar conflictos.
La Seguridad en el mundo cibernético y fuera de él, hoy en día, es una guerra como cualquier otra. Tenemos dos bandos y cada uno de ellos obedece a unos objetivos muy claros.
El primero de ellos, compuesto por aquellos profesionales que estamos del lado de la Ley, o que por lo menos consideramos que así es. Protegiendo siempre los activos de las organizaciones y gobiernos, desplegando tecnologías y procesos para evitar que la información caiga en manos contrarias o que impacte negativamente el Negocio y sus objetivos Estratégicos.
El segundo un poco más obscuro, compuesto por todos aquellos de intentan de cualquier modo, apropiarse de Información que les permita buscar un lucro de manera ilegal, a través del robo de identidad, Secretos Industriales o causar daños malintencionados en los Sistemas de su contraparte.
En un mundo conectado, es posible que nunca sepamos quien es y donde está nuestro enemigo; peor aún, el enemigo se multiplica geométricamente y mejora sus técnicas de ataque. El conocimiento distribuido, gracias a Internet, permite obtener con facilidad las instrucciones para lanzar ataques de toda índole.
Si conoces a los demás y te conoces a tí mismo, ni en cien batallas correrás peligro.
Para conocerse a sí mismo, en términos de Seguridad, es necesario llevar a cabo análisis de GAP, o medir la brecha existente entre un modelo de Seguridad óptimo y nuestra posición actual. Para conocer al enemigo, debemos estar alertas a las publicaciones de vulnerabilidades, parches y técnicas de ataques. Una forma sencilla de lograrlo es suscribirse a los foros de seguridad o listas de correo automáticas que nos provean la información de como están procediendo nuestros enemigos.
Nunca olvide consultar los informes periódicos de organizaciones que evaluan las diferentes técnicas de ataques o la forma como evolucionan éstos.
La brecha que exista en su organización es el trabajo que usted tiene pendiente realizar para estar protegido.
Los guerreros expertos se hacían a sí mismos invencibles en primer lugar, y después aguardaban para descubrir la vulnerabilidad de sus adversarios.
La Seguridad no se puede dejar en manos inexpertas. Las organizaciones deben entender que el Recurso Capacitado y Entrenado es un activo necesario para afrontar los peligros existentes. Hay que dejar de lado la concepción de entrenar en el campo de batalla a nuestros Especialistas. Un Samurai no puede ir a la batalla a ensayar...
Si llegaramos a estar del lado obscuro de la Fuerza, la Ingeniería Social es la herramienta más expedita y barata para encontrar vulverabilidades en nuestro objetivo.
No escatime recursos ni medidas administrativas para ayudar u obligar a sus Funcionarios a convertirse en Expertos. Recuerde ellos son sus guerreros en el campo de batalla, de sus capacidades depende su nivel de protección y respuesta.
Un ejército perece si no está equipado, si no tiene provisiones o si no tiene dinero.
¿ Cuántas veces hemos tenido que desistir de fortalecer el área de Seguridad o los procesos por falta de dinero o apoyo en la Alta Gerencia? Nos evalúan por el ROI, el VPN, la generación de ingresos o la creación de nuevos servicios. ¿Acaso nos preguntamos lo mismo cuando compramos el seguro del automóvil?
Pero la Alta Dirección de la compañía no tiene la culpa, porque nunca entienden de seguridad y nosotros no somos los interlocutores apropiados para que ellos por fin, comprendan que la Seguridad no se puede tomar de manera tan simple por la fórmula INGRESOS - EGRESOS.
Cuando las órdenes son razonables, justas, sencillas, claras y consecuentes, existe una satisfacción recíproca entre el líder y el Grupo.
Como responsable de la Seguridad Informática en algunas empresas, me he visto en la incómoda posición de obedecer instrucciones que van totalmente en contravía de la Seguridad de la Empresa misma. Es totalmente decepcionante. Sobre todo porque cualquier eventualidad resulta siendo responsabilidad directa del área. Si sucede algo trágico el responsable soy yo, pero no puedo negarme a seguir órdenes cuando vienen de arriba.
Es necesario saber cómo impedir que los demás te ataquen a tí.
Para cerrar estas pocas líneas, creo que al profesional de Seguridad o cualquiera que tenga que ver con ella, debe conocer los procesos, tecnologías y personas que necesita para proteger la Empresa. No es posible evitar que te ataquen, ni siquiera siendo el FBI, pero sí es posible que con el TRIO personas, procesos y tecnología logres un adecuado nivel de protección.
Sun Tzú, el genio de la estrategia militar nos puede guiar en cualquier campo del ataque o la defensa comop ha quedado demostrado en este pequeño artículo.
La Seguridad en el mundo cibernético y fuera de él, hoy en día, es una guerra como cualquier otra. Tenemos dos bandos y cada uno de ellos obedece a unos objetivos muy claros.
El primero de ellos, compuesto por aquellos profesionales que estamos del lado de la Ley, o que por lo menos consideramos que así es. Protegiendo siempre los activos de las organizaciones y gobiernos, desplegando tecnologías y procesos para evitar que la información caiga en manos contrarias o que impacte negativamente el Negocio y sus objetivos Estratégicos.
El segundo un poco más obscuro, compuesto por todos aquellos de intentan de cualquier modo, apropiarse de Información que les permita buscar un lucro de manera ilegal, a través del robo de identidad, Secretos Industriales o causar daños malintencionados en los Sistemas de su contraparte.
En un mundo conectado, es posible que nunca sepamos quien es y donde está nuestro enemigo; peor aún, el enemigo se multiplica geométricamente y mejora sus técnicas de ataque. El conocimiento distribuido, gracias a Internet, permite obtener con facilidad las instrucciones para lanzar ataques de toda índole.
Si conoces a los demás y te conoces a tí mismo, ni en cien batallas correrás peligro.
Para conocerse a sí mismo, en términos de Seguridad, es necesario llevar a cabo análisis de GAP, o medir la brecha existente entre un modelo de Seguridad óptimo y nuestra posición actual. Para conocer al enemigo, debemos estar alertas a las publicaciones de vulnerabilidades, parches y técnicas de ataques. Una forma sencilla de lograrlo es suscribirse a los foros de seguridad o listas de correo automáticas que nos provean la información de como están procediendo nuestros enemigos.
Nunca olvide consultar los informes periódicos de organizaciones que evaluan las diferentes técnicas de ataques o la forma como evolucionan éstos.
La brecha que exista en su organización es el trabajo que usted tiene pendiente realizar para estar protegido.
Los guerreros expertos se hacían a sí mismos invencibles en primer lugar, y después aguardaban para descubrir la vulnerabilidad de sus adversarios.
La Seguridad no se puede dejar en manos inexpertas. Las organizaciones deben entender que el Recurso Capacitado y Entrenado es un activo necesario para afrontar los peligros existentes. Hay que dejar de lado la concepción de entrenar en el campo de batalla a nuestros Especialistas. Un Samurai no puede ir a la batalla a ensayar...
Si llegaramos a estar del lado obscuro de la Fuerza, la Ingeniería Social es la herramienta más expedita y barata para encontrar vulverabilidades en nuestro objetivo.
No escatime recursos ni medidas administrativas para ayudar u obligar a sus Funcionarios a convertirse en Expertos. Recuerde ellos son sus guerreros en el campo de batalla, de sus capacidades depende su nivel de protección y respuesta.
Un ejército perece si no está equipado, si no tiene provisiones o si no tiene dinero.
¿ Cuántas veces hemos tenido que desistir de fortalecer el área de Seguridad o los procesos por falta de dinero o apoyo en la Alta Gerencia? Nos evalúan por el ROI, el VPN, la generación de ingresos o la creación de nuevos servicios. ¿Acaso nos preguntamos lo mismo cuando compramos el seguro del automóvil?
Pero la Alta Dirección de la compañía no tiene la culpa, porque nunca entienden de seguridad y nosotros no somos los interlocutores apropiados para que ellos por fin, comprendan que la Seguridad no se puede tomar de manera tan simple por la fórmula INGRESOS - EGRESOS.
Cuando las órdenes son razonables, justas, sencillas, claras y consecuentes, existe una satisfacción recíproca entre el líder y el Grupo.
Como responsable de la Seguridad Informática en algunas empresas, me he visto en la incómoda posición de obedecer instrucciones que van totalmente en contravía de la Seguridad de la Empresa misma. Es totalmente decepcionante. Sobre todo porque cualquier eventualidad resulta siendo responsabilidad directa del área. Si sucede algo trágico el responsable soy yo, pero no puedo negarme a seguir órdenes cuando vienen de arriba.
Es necesario saber cómo impedir que los demás te ataquen a tí.
Para cerrar estas pocas líneas, creo que al profesional de Seguridad o cualquiera que tenga que ver con ella, debe conocer los procesos, tecnologías y personas que necesita para proteger la Empresa. No es posible evitar que te ataquen, ni siquiera siendo el FBI, pero sí es posible que con el TRIO personas, procesos y tecnología logres un adecuado nivel de protección.
Sun Tzú, el genio de la estrategia militar nos puede guiar en cualquier campo del ataque o la defensa comop ha quedado demostrado en este pequeño artículo.
viernes, 27 de noviembre de 2009
Seguridad en Maquinas Virtuales
Las máquinas virtuales, o la virtualización de infraestructura a nivel de Servidores, se han convertido en una necesidad en cualquier ambiente corporativo.
Lo que antes era una característica novedosa de servidores de Rango Alto y Medio, en arquitectura RISC, Sparc y PA-RISC entre otros, se ha convertido en una herramienta común incluso en los PC´s de uso personal.
Debemos abonar el trabajo que hizo en su momento VMWARE para masificar esta técnica y que ahora lo tienen como líder del mercado, por lo menos en arquitecturas Intel. Lo que nació como una herramienta para montar ambientes de pruebas de manera eficiente y rápida se ha convertido hoy en una punta de lanza para ofrecer mecanismos ágiles de recuperación, backup, aprovisionamiento y porque no, BCP.
Hay que aclarar que vmware no fue el primero, ni es el único, pero por razones del artículo, sólo mencionaremos éste.
Ya no son simplemente ambientes de prueba, ahora son Datacenters enteros que se pueden virtualizar mejorando el aprovechamiento de capacidad ociosa y reduciendo de marea drástica los costos de TI.
Fue este enfoque el que llevó a pensar que no sólo se virtualiza el manejo de recursos como la CPU; Memoria y Almacenamiento, sino que también podemos virtualizar LA RED.
Efectivamente, las plataformas de virtualización actuales incluyen la opción de crear switches virtuales con casi todas las capacidades que tienen los elementos activos de red convencionales. Esto permite que el switch virtual permita comunicar efectivamente todas las máquinas virtualizadas sin tener que enviar los paquetes al "core" de la red (o BackBone).
Con tan grandes ventajas, podemos comunicar todas las máquinas sin "salir" a la red corporativa.
De esta forma estaríamos ahorrando ingentes recursos de cableado, puertos y tarjetas físicas sobre los equipos de la red y los servidores. Esto sin lugar a dudas representa un cambio de paradigma en todos aquellos que como yo, estamos acostumbrados a pensar en la red tradicional con routers y switches físicos.
Y la seguridad?
¿Que sucede con un Datacenter virtualizado o un conjunto considerable de máquinas virtuales que se comunican a través de "la red virtual"?
Todas las amenazas de seguridad que se propagan por la red, como virus, gusanos, trojanos etc, tienen la puerta abierta para pasar a sus anchas de una máquina a la otra sin que medie elemento de protección.
Lo más grave, no puedo restringir servicios de una máquina a otra si necesito que estén aisladas ya sea por un Firewall, IPS o IDS.
Dado que los elementos que conocemos de seguridad deben ir en medio de las redes o servidores que deseo proteger, esta virtualización de la red me impide contar con esas herramientas.
Sin embargo, checkpoint ha sacado lo que parece ser la solución a este problema. Se trata de la versión de su producto estrella, el Firewall VPN-1 de checkpoint para ambientes virtuales pero por el momento sólo está homologado para vmware.
Corriendo las mismas características que han hecho de este producto el líder del mercado, podemos contar con toda la seguridad requerida gracias a que el Firewall funciona a nivel del Hypervisor de vmware antes del sistema operativo.
En conclusión, existe ya la solución para proteger máquinas virtuales que intercambien paquetes por medio de switches virtuales, pero por el momento sólo para plataforma de virtualización vmware.
Antes de cerrar debemos preguntarnos si las plataformas de virtualización que tenemos (de otros fabricantes) ya sea en ambientes Legacy, UNIX, windows, Linux, tienen opciones de seguridad para cerrar las brechas antes mecionadas.
Lo que antes era una característica novedosa de servidores de Rango Alto y Medio, en arquitectura RISC, Sparc y PA-RISC entre otros, se ha convertido en una herramienta común incluso en los PC´s de uso personal.
Debemos abonar el trabajo que hizo en su momento VMWARE para masificar esta técnica y que ahora lo tienen como líder del mercado, por lo menos en arquitecturas Intel. Lo que nació como una herramienta para montar ambientes de pruebas de manera eficiente y rápida se ha convertido hoy en una punta de lanza para ofrecer mecanismos ágiles de recuperación, backup, aprovisionamiento y porque no, BCP.
Hay que aclarar que vmware no fue el primero, ni es el único, pero por razones del artículo, sólo mencionaremos éste.
Ya no son simplemente ambientes de prueba, ahora son Datacenters enteros que se pueden virtualizar mejorando el aprovechamiento de capacidad ociosa y reduciendo de marea drástica los costos de TI.
Fue este enfoque el que llevó a pensar que no sólo se virtualiza el manejo de recursos como la CPU; Memoria y Almacenamiento, sino que también podemos virtualizar LA RED.
Efectivamente, las plataformas de virtualización actuales incluyen la opción de crear switches virtuales con casi todas las capacidades que tienen los elementos activos de red convencionales. Esto permite que el switch virtual permita comunicar efectivamente todas las máquinas virtualizadas sin tener que enviar los paquetes al "core" de la red (o BackBone).
Con tan grandes ventajas, podemos comunicar todas las máquinas sin "salir" a la red corporativa.
De esta forma estaríamos ahorrando ingentes recursos de cableado, puertos y tarjetas físicas sobre los equipos de la red y los servidores. Esto sin lugar a dudas representa un cambio de paradigma en todos aquellos que como yo, estamos acostumbrados a pensar en la red tradicional con routers y switches físicos.
Y la seguridad?
¿Que sucede con un Datacenter virtualizado o un conjunto considerable de máquinas virtuales que se comunican a través de "la red virtual"?
Todas las amenazas de seguridad que se propagan por la red, como virus, gusanos, trojanos etc, tienen la puerta abierta para pasar a sus anchas de una máquina a la otra sin que medie elemento de protección.
Lo más grave, no puedo restringir servicios de una máquina a otra si necesito que estén aisladas ya sea por un Firewall, IPS o IDS.
Dado que los elementos que conocemos de seguridad deben ir en medio de las redes o servidores que deseo proteger, esta virtualización de la red me impide contar con esas herramientas.
Sin embargo, checkpoint ha sacado lo que parece ser la solución a este problema. Se trata de la versión de su producto estrella, el Firewall VPN-1 de checkpoint para ambientes virtuales pero por el momento sólo está homologado para vmware.
Corriendo las mismas características que han hecho de este producto el líder del mercado, podemos contar con toda la seguridad requerida gracias a que el Firewall funciona a nivel del Hypervisor de vmware antes del sistema operativo.
En conclusión, existe ya la solución para proteger máquinas virtuales que intercambien paquetes por medio de switches virtuales, pero por el momento sólo para plataforma de virtualización vmware.
Antes de cerrar debemos preguntarnos si las plataformas de virtualización que tenemos (de otros fabricantes) ya sea en ambientes Legacy, UNIX, windows, Linux, tienen opciones de seguridad para cerrar las brechas antes mecionadas.
miércoles, 25 de noviembre de 2009
Seguridad Informatica vs. Seguridad de la Informacion
En muchas organizaciones se nota una confusión a la hora de asignar o distinguir las funciones que debe cumplir un área de Seguridad Informática versus el área de Seguridad de la Información. En algunas de ellas, ni siquiera existen como áreas independientes.
Debido a que la mayoría poseen una infraestructura tecnológica de seguridad instalada, ya sean herramientas de defensa perimetral o de profundidad, el Gerente de Tecnología "asume" como suyo el Rol de Responsable de todo aquello que suene a "seguridad" incluyendo el área de Seguridad de la Información.
¿Cuál es la diferencia entre ellas?
Podemos decir que Seguridad Informática es el conjunto de procedimientos, que apoyados en herramientas tecnológicas, proveen mecanismos de "Seguridad" para la información que reside, se almacena o se transmite por medios "telemáticos".
¿Pero que ocurre con la "Información" que no se transmite por esos medios?
¿Que hacer con los peligros que acechan al negocio como los atentados terroristas, la Ingeniería social o la difamación que afectan a una Marca o personas de la Organización?
Como ejemplo, recordemos como se afectó el valor de la acción de Apple Computers, cuando se divulgó la noticia que Steve Jobs (su fundador) sufría de cáncer de páncreas. Era cierto, pero creó una desvalorización inmediata.
¿Y la basura física arrojada a la caneca donde puedo encontrar datos importantes de Estrategia, manejo de clientes o finanzas?
Ninguno de los interrogantes anteriores puede ser respondido por el Gerente de Tecnología de la Empresa (o CTO). Y así podríamos ennumerar miles de interrogantes parecidos.
Para atender todo lo relacionado con "SEGURIDAD DE LA INFORMACIÓN" de la compañía, sin que necesariamente sean herramientas tecnologicas se debe contar con un área de Seguridad de la Información.
¿Quién manda a quién?
Debido a su ámbito más amplio el área de Seguridad de la Información es evidente que "controla" a su contraparte tecnológica - es decir la Seguridad Informática-.
Adicionalmente existen otros Roles que no puede ser cubiertos por el Departamento de TI, debido a que sus Ingenieros poseen el máximo nivel de privilegios sobre la Infraestructura. Ellos podrían borrar logs, eliminar evidencia, escalarse permisos, instalar, desinstalar entre otros.
Por esta razón el Departamento de Tecnología necesita que alguien más lo "vigile" y controle que los mecanismos de protección se cumplan, incluso por ellos mismos.
Así mismo, la operación normal del departamento de TI, no incluye manejo y control de Información en papel, como documentos, contratos que están a cargo de otras áreas de la compañía. Esta información vital del negocio no puede quedar desprotegida sólo porque no está en medios digitales.
Tampoco podemos asignarle la vigilancia de los controles de Seguridad Física al departamento de TI, ya que por lo general depende de Servicios Generales y Administrativos. Con este panorama tan complejo y amplio, es evidente que debe existir un área independiente, desligada de TI, que vigile por el efectivo cumplimiento de los controles necesarios para salvaguardar el activo más importante de las Empresas : LA INFORMACIÓN.
Por último la Norma ISO/IEC27001 en su apartado de segregación de funciones exige que un área independiente vigile y audite todos los controles de la Norma de Seguridad de la Información. Es evidente que para cumplir esto, Seguridad Informática está impedida ya que sería Juez y Parte.
¿Pero como controlar al Departamento de Tecnología de una empresa, sin generar conflicto al interior o ir en contra del statu quo o la jerarquía misma?
Para ello las mejores prácticas adoptadas por las empresas maduras en seguridad, separan totalmente la Seguridad de la Información del área de Tecnología, de tal forma que no pertenezcan jerarquicamente a la misma división de la compañía.
Es altamente recomendable impedir que:
- El Gerente de TI, asuma el control de la Seguridad de la Información.
- El área de Seguridad de la Información pertenezca en organigrama a la misma división que pertenece TI, por aquello de ser juez y parte y poder exigir el cumplimiento de los controles al dueño de la tecnología.
Se aconseja que:
- El dueño de Seguridad de la Información tenga el mismo nivel jerarquico o cargo que el dueño de la Tecnología. Para tener la suficiente autoridad y poder exigirle a TI el cumplimiento de los controles. Muchas orgazaniciones crean un área que está asociada directamente a la Presidencia.
- Delimitar claramente las funciones de seguridad con el área de TI. Recordemos que ellos administran tecnología, pero no vigilan los procesos.
Desafortunadamente otro es el panorama real, donde las organizaciones no desean crear más cargos, ni dependencias de alto costo porque visualizan la Seguridad de la Información como un gasto más.
Alli termina el área de Seguridad de la Información como un apéndice más de otro Departamento, sin peso alguno ni autoridad en la organización. Y entonces es cuando esperamos que algún incidente grave ocurra, para que los encargados de la Seguridad de la Información esgriman su frase lapidaria: SE LES ADVIRTIÓ....
Debido a que la mayoría poseen una infraestructura tecnológica de seguridad instalada, ya sean herramientas de defensa perimetral o de profundidad, el Gerente de Tecnología "asume" como suyo el Rol de Responsable de todo aquello que suene a "seguridad" incluyendo el área de Seguridad de la Información.
¿Cuál es la diferencia entre ellas?
Podemos decir que Seguridad Informática es el conjunto de procedimientos, que apoyados en herramientas tecnológicas, proveen mecanismos de "Seguridad" para la información que reside, se almacena o se transmite por medios "telemáticos".
¿Pero que ocurre con la "Información" que no se transmite por esos medios?
¿Que hacer con los peligros que acechan al negocio como los atentados terroristas, la Ingeniería social o la difamación que afectan a una Marca o personas de la Organización?
Como ejemplo, recordemos como se afectó el valor de la acción de Apple Computers, cuando se divulgó la noticia que Steve Jobs (su fundador) sufría de cáncer de páncreas. Era cierto, pero creó una desvalorización inmediata.
¿Y la basura física arrojada a la caneca donde puedo encontrar datos importantes de Estrategia, manejo de clientes o finanzas?
Ninguno de los interrogantes anteriores puede ser respondido por el Gerente de Tecnología de la Empresa (o CTO). Y así podríamos ennumerar miles de interrogantes parecidos.
Para atender todo lo relacionado con "SEGURIDAD DE LA INFORMACIÓN" de la compañía, sin que necesariamente sean herramientas tecnologicas se debe contar con un área de Seguridad de la Información.
¿Quién manda a quién?
Debido a su ámbito más amplio el área de Seguridad de la Información es evidente que "controla" a su contraparte tecnológica - es decir la Seguridad Informática-.
Adicionalmente existen otros Roles que no puede ser cubiertos por el Departamento de TI, debido a que sus Ingenieros poseen el máximo nivel de privilegios sobre la Infraestructura. Ellos podrían borrar logs, eliminar evidencia, escalarse permisos, instalar, desinstalar entre otros.
Por esta razón el Departamento de Tecnología necesita que alguien más lo "vigile" y controle que los mecanismos de protección se cumplan, incluso por ellos mismos.
Así mismo, la operación normal del departamento de TI, no incluye manejo y control de Información en papel, como documentos, contratos que están a cargo de otras áreas de la compañía. Esta información vital del negocio no puede quedar desprotegida sólo porque no está en medios digitales.
Tampoco podemos asignarle la vigilancia de los controles de Seguridad Física al departamento de TI, ya que por lo general depende de Servicios Generales y Administrativos. Con este panorama tan complejo y amplio, es evidente que debe existir un área independiente, desligada de TI, que vigile por el efectivo cumplimiento de los controles necesarios para salvaguardar el activo más importante de las Empresas : LA INFORMACIÓN.
Por último la Norma ISO/IEC27001 en su apartado de segregación de funciones exige que un área independiente vigile y audite todos los controles de la Norma de Seguridad de la Información. Es evidente que para cumplir esto, Seguridad Informática está impedida ya que sería Juez y Parte.
¿Pero como controlar al Departamento de Tecnología de una empresa, sin generar conflicto al interior o ir en contra del statu quo o la jerarquía misma?
Para ello las mejores prácticas adoptadas por las empresas maduras en seguridad, separan totalmente la Seguridad de la Información del área de Tecnología, de tal forma que no pertenezcan jerarquicamente a la misma división de la compañía.
Es altamente recomendable impedir que:
- El Gerente de TI, asuma el control de la Seguridad de la Información.
- El área de Seguridad de la Información pertenezca en organigrama a la misma división que pertenece TI, por aquello de ser juez y parte y poder exigir el cumplimiento de los controles al dueño de la tecnología.
Se aconseja que:
- El dueño de Seguridad de la Información tenga el mismo nivel jerarquico o cargo que el dueño de la Tecnología. Para tener la suficiente autoridad y poder exigirle a TI el cumplimiento de los controles. Muchas orgazaniciones crean un área que está asociada directamente a la Presidencia.
- Delimitar claramente las funciones de seguridad con el área de TI. Recordemos que ellos administran tecnología, pero no vigilan los procesos.
Desafortunadamente otro es el panorama real, donde las organizaciones no desean crear más cargos, ni dependencias de alto costo porque visualizan la Seguridad de la Información como un gasto más.
Alli termina el área de Seguridad de la Información como un apéndice más de otro Departamento, sin peso alguno ni autoridad en la organización. Y entonces es cuando esperamos que algún incidente grave ocurra, para que los encargados de la Seguridad de la Información esgriman su frase lapidaria: SE LES ADVIRTIÓ....
Suscribirse a:
Entradas (Atom)