lunes, 20 de septiembre de 2010

Software gratuito

Hola a todos,

Nos encanta el software gratuito, todo lo que sea gratis, tenga o no utilidad… es gratis y podemos tenerlo.

¿O no?

Desde mi punto de vista, en seguridad y TI, pienso en varias cosas … y me respondo.

¿Tiene utilidad? si la respuesta es afirmativa, este producto debería pasar un sencillo ciclo de testeo para ver como se lleva con el resto de nuestra plataforma. Siempre tenemos una configuración estándar (o deberíamos) en la que podemos encontrarnos desagradables sorpresas en las que otras aplicaciones dejan de funcionar.

¿Es segura? La respuesta es totalmente técnica y debe salir de TI. Nos dejamos engañar por bonitas paginas web, diseños corporativos y pueden esconder una aplicación con troyano o zombi incluido que nos puede dar una desagradable sorpresa. Y la culpa, mas que del usuario… será de Seguridad o TI por permitir la ejecución de ese software sin testear.

¿Seguro que es gratuita? Y aqui la mejor!!! nos encontramos con muchas palabras acabadas en ware (shareware/freeware/etc)… pero … Pone GRATIS !!!! he visto… “descarga gratuita aqui”!

Pues bien… veremos que el software es gratuito, pero en muchos casos,…  si nos gusta, pasado 1 mes podemos pagar por la funcionalidad completa (shareware) o si nos gusta y vamos a ejecutarlo en un entorno empresarial, podemos PAGAR por maquina que tenga el producto instalado.

Si, no me he equivocado "Pagar”… Mi abuelo decia que nadie daba “duros a 4 pesetas”.

Veamos también la posibilidad de un producto gratuito, que vamos a instalar. Útil y gratuito.

Cuanto cuesta el trabajo del técnico que debe revisar que el software, el coste de implementación, el coste de resolver incidencias sobre el producto, el coste de sus averias…

Yo como casi todos (o todos) soy usuario de software de ese tipo.. pero no le llamaría gratuito… simplemente barato. Y analicemos y mostremos el bajo coste cuando nos dicen….

MIRA, ESTE SOFTWARE ES GRATIS, PUEDES INSTALARMELO?  :)

¿Donde terminan las políticas de Firewall y comienza la seguridad?

 

Hay una gran diferencia entre la gestión y la explotación. Inevitablemente me hago mayor (si saben arreglar eso, déjenme un post con su dirección de correo :) )  y me está tocando cambiar del mundo técnico al de gestión. Algo que siempre he visto, y lo he entendido como normal, es que una inversión económica de seguridad, pasa por poner equipos y contratar consultorías de apoyo. Todos esos cacharritos amarillos, negros o de cualquier color, que tengan diodos led que parpadeen, eso si… es una inversión de seguridad.

El mundo de la gestión me ha obligado a pensar en otra cosa. Seguridad global de la compañía. Que complejo suena.

Yo tomo mucho café al día, y uno de estos días, en una empresa donde trabajaba, tenia como compañeros de maquina de café al jefe de ventas y a un comercial que hablaban y alardeaban del buen contrato que habían conseguido con un cliente. Se enorgullecían que pese al bajo coste de un producto, habían podido venderlo a un precio elevado.

También había en la zona de cafés y zona de fumar mas personas, en las que no presté atención porque no los conocía. Lamentablemente parece que uno de ellos trabajaba para el cliente del que estaban hablando y pocos días después, ese contrato se rompió.

Como bien indica la ISO 27001, la seguridad no es solo válida para componentes informáticos. Un competidor ahí, hubiese robado al cliente sin necesidad de cyber-terrorismo, La única arma de ataque hubiese sido… tener ganas de tomar un café.

Como conclusión, indicar que creo mucho mejor inversión, gastar una buena parte del presupuesto en formar a los empleados de mi compañía en una campaña de concienciación de seguridad… que solo poner políticas de firewall y preocuparme solo de que no usen emule.

Saludos

martes, 20 de abril de 2010

Código abierto… Poco control y demasiado caro

Jose EspinalAlgo que debemos controlar con referencia a la seguridad, es la propia seguridad del software de código abierto. Me ha tocado trabajar con un producto de código abierto, bastante conocido, y me he encontrado algo que me hizo reflexionar.

Cada muy pocas semanas, el código es actualizado y cuando quieres bajarte el software tienes la versión actual. Parece algo fantástico, pero los problemas llegan cuando has preparado, verificado y trabajado con una versión que tiene unas semanas de antigüedad. Si, estas caducan antes que los yogures.

Algo prioritario es guardar y conservar la versión del software con la que trabajar. Si no es así, probablemente no puedas volver a descargarla pasado algún tiempo. Y empezamos a pensar… Una versión de hace 1 mes!!! estoy desactualizado?

Luego, llegan las dependencias del software. Aplicaciones web que se basan en otros productos de software (también libre) que también se actualizan frecuentemente y salen versiones nuevas. Tienes una copia de la versión del día que te hizo falta? pues estas en un lio, porque ya la han quitado de la web por obsoleta.

Estos sitios web que son actualizados tan frecuentemente (creo que más de lo debido) generan demasiada confusión. Desde un usuario final hasta un administrador de sistemas experimentado. Como todo es tan fácil, tan abierto y todo el mundo ayuda a la vez (con algo de falta de control), pues me voy a la web, descargo el procedimiento que tienen publicado y descargo el producto y voy a buscar las dependencias de otros software que son necesarios.

El procedimiento es para la versión 1.9.5 y tengo la 1.9.8, bueno, será igual… Pues no!! tienen menús distintos y preguntas distintas. Ahora PHP… pues no… los archivos han cambiado de situación y tu versión descrita en el procedimiento ya no está disponible. Después la base de datos, e ídem de lo mismo.

Ya lo decía aquel anuncio, La potencia sin control, no sirve de nada.
Voy a trabajar… el doble? el triple? Pues sinceramente, creo que mas. Tengo que descargar todo lo actual, hacerme mis propios procedimientos y no actualizar hasta que sea estrictamente necesario.
El software libre es gratuito, pero mi esfuerzo…. también lo es?

jueves, 11 de marzo de 2010

La importancia del Centro de Servicio

OLYMPUS DIGITAL CAMERA         He leído una noticia de una conocida compañía, en la que pretende conseguir una interesante cuota de mercado. Esta compañía tiene una competencia feroz, en la que los productos se presentan baratos y una calidad de servicio alta. Sinceramente no creo que técnicamente su servicio sea mucho mejor, aunque tampoco peor, y así, la compañía tiene una posición en la que creo que es difícil crecer.

Curiosamente, han apostado por un centro de servicios de calidad. Un centro de servicios que no te mareen demasiado y que puedan atender a dudas. Aquí si pienso que han encontrado una característica diferenciadora del resto de competidores y que los deja en buena posición.

No sé si ha sido mi inquietud por probar o mi descontento con la compañía anterior, pero he contratado el servicio y mi sorpresa ha sido comprobar que era cierto lo que decían. Tienen personal cualificado que ha sido capaz de responder rápidamente y con respuestas efectivas (coloquial y técnicamente) a mis preguntas y resolver mis dudas.

La apuesta creo que ha sido muy dura. Le han dado una importancia considerable al centro de servicios y han escogido personal que pienso que tienen estas características. No perder los nervios fácilmente, saber articular, conocimiento del producto, conocimientos de todos los servicios y un gran periodo de formación. Con todo esto, transmiten cordialidad y un espíritu de ayuda que agradecen los usuarios cuando llaman, porque cuando llaman los usuarios es por tener problemas en sus servicios.

En la compañía que usaba anteriormente, mis llamadas al centro de servicio fueron lamentables. Dificultad para comunicarme con ellos era una razón. Otra razón era que me escalaban continuamente (en vez de escalar incidentes, escalaban a los clientes) y sinceramente era descorazonador los tiempos de espera para que me atendieran y las respuestas que me daban. Siempre tenia ganas de decirles a la primera persona que hablaba conmigo… “no voy a hacer un ping, pásame a vuestro departamento experto!!”.

Espero que a esta compañía les vaya muy bien con su acción. Si no modifican los servicios creo que continuaré con ellos bastante tiempo.

Saludos

sábado, 6 de febrero de 2010

Informe de Daños

Pues si, hay que admitirlo.... nos han atacado.

Esta frase no es muy leida/oida. Parece que un ataque daña más nuestro ego que nuestros datos, pero es una frase que cuesta dinero. Ese dinero, va normalmente en prestigio de la compañía. Imaginese que en nuestra compañía de seguros, adsl, banco/caja etc nos dijeran lo siguiente.

Hemos recibido un ataque y han robado la base de datos de cliente.

Suena muy de pelicula, pero el hecho es que si mi compañía de ADSL me dijera esto, probablemente yo buscaría otro proveedor de servicios, y como yo otros tantos, así que el daño real del ataque se quedaría no solo en "copiar" un fichero del que tengo backup, sino en una perdida de clientes en la que tardaría mucho tiempo en recuperarse. De ahí que pocas veces una compañía haga publico su "informe de daños"

Si el ataque hubiese sido menos critico, algo así como... El atacante nos produjo una parada de servicios que se ha restaurado en 48 horas.

Tambien pensariamos que mejor, cambiar de proveedor, no vaya a ser que reciban otro ataque. Así que mejor no difundir que hemos recibido un ataque.

Y bien, hasta aqui la opinion publica o el mensaje a difundir externamente... pero internamente??

Pues casi igual, tenemos que tener en cuenta que aunque sean empleados, deben tener la información justa. En el caso del departamento de seguridad e Infraestructuras la cosa cambia, pues serán necesarios la revision e intentos de sabotaje en la considerada zona militarizada.

Así debemos realizar estudios internos exaustivos para comprobar las distintas areas internas y las consecuencias para conocer el Riesgo.

Recomiendo una lectura de los servicios secretos del gobierno de los Estados Unidos que creo que será interesante.
http://www.secretservice.gov/ntac/its_report_050516.pdf

Aunque sea el Servicio Secreto, es un documento no-secreto.

Saludos