¿Puede Twitter servirnos para algo útil? ¿Es una red social micro-blogging de pura ociosidad para "chavos"? ¿"Seguir" a alguien en Twitter es lo más absurdo, aburrido e inútil? La respuesta rápida es que depende de a quién sigamos y qué uso le damos a Twitter para que pase de algo ocioso a algo productivo e interesante.
En mi caso, no es un secreto que lo que me apasiona es todo lo relacionado a la seguridad de la información. Seguro ustedes tendrán intereses en tecnología, seguridad u otro tema como por ejemplo nutrición. El chiste es seguir a las entidades correctas en Twitter para sacarle provecho real.
Como lo que me interesa es la seguridad y la tecnología, mi ID en Twitter (@FaustoCepeda) sigue a quienes me pueden proveer información sobre estos temas y deseo listar a continuación algunos ejemplos.
@dangerroom: la revista de tecnología Wired habla de temas de seguridad nacional (enfocado a EUA).
@jeremiahg: Jeremiah Grossman es un experto en seguridad Web.
@mikkohypponen: Mikko es un directivo en la empresa de antivirus F-Secure.
@securitytwits: publica y re-publica noticias en general de seguridad de la información.
@McAfeeAvertLabs: este es el Twitt oficial de la empresa antivirus McAfee.
@alt1040: sitio de tecnología en general.
@drericcole: reconocido instructor de seguridad informática del instituto de seguridad SANS.
@CiscoSecurity: el Twitt de Cisco para temas relacionados con seguridad.
@stevewoz: el buen Steve, co-fundador de Apple.
@jmatuk: el buen Ingeniero Javier Matuk,lo recordarán por su programa en radio sobre tecnología llamado Dommo que ahora se distribuye vía podcast.
@RicardoZamora: compañero del Ing. Matuk en el podcast Dommo.
@Netmedia_mx: no podía faltar estar enterado de las noticias de las tecnologías de información.
@ryanaraine: editor del blog de seguridad del sitio ZDNet.
@sans_isc: el reconocido instituto de seguridad informática publica frecuentemente información interesante.
@kevinmitnick: el buen Kevin, tal vez el exhacker más famoso de todos los tiempos.
En fin, lo que les quería mostrar es que definitivamente pueden darle a Twitter un uso productivo si así lo deciden, y relacionado a lo que ustedes hagan o a lo que les interesa (que no tiene que ser forzosamente las tecnologías de información ya que pueden decidir seguir a @polo_polo o a @JavierSolorzano si así lo desean).
En Twitter también pueden seguir las noticias nacionales e internacionales de varios sitios noticiosos mexicanos y extranjeros de la red que tienen su cuenta Twitter. Como toda red social, depende del uso que le den y también podrán gastar enormes cantidades de tiempo ocioso. Yo veo a Twitter mas bien como una herramienta de micro-blogging no tanto para que me sigan a mí, sino para seguir a quien me interesa y que me ayuda en mi trabajo de seguridad informática y para estar al tanto de las tecnologías de información. Y ustedes, a quiénes siguen?
Leyendo el otro a @schneier, comentó dos cuestiones relacionadas al resguardo de la información contenida en las laptops/netbooks que hasta el momento no había pensado como posibles riesgos; de hecho se aplican también a teléfonos inteligentes.
La primera situación se refiere a un atacante que nos arrebate la laptop mientras estamos usándola. Aquí le podemos decir adiós a los controles de cifrado que protegen parte o todo el disco del equipo y a controles biométricos, por ejemplo. El atacante tendrá un equipo sin ningún control de acceso al equipo o a la información ya que el usuario habrá hecho esto previamente, desbloqueando controles de seguridad para poder usar el sistema.
La segunda situación se refiere a que una autoridad como por ejemplo un agente aduanal (u otra autoridad judicial) nos "pida" que mostremos el contenido de nuestro equipo. Aquí tal vez podamos esquivar al agente aduanal aprovechando nuestro conocimiento técnico (podemos tener una partición no visible y cifrada), aunque ya en un proceso judicial con más calma y con agentes que sepan de asuntos técnicos, tal vez signifique que encontrarán cualquier truco y nos "pedirán" que descifremos la información con nuestra llave para acceder al contenido.
Aterrizo mi anterior idea: si por ejemplo vamos a EUA con una laptop que tiene secretos comerciales y los agentes aduanales nos exigen mostrarla y lo hacemos (o uno de nuestros empleados) para no tener problemas, es un riesgo a la seguridad de la información que debemos prever (lo mejor es no llevar esos datos con nosotros y "traerlos" vía Internet).
En fin, sobre todo el primer riesgo de que nos arrebaten la laptop en uso definitivamente no lo había considerado; el segundo riesgo es uno que hay que tener en cuenta sobre todo cuando viajemos a países que legalmente pudieran solicitar el acceso a nuestra información.
Compremos nuestro kit de votaciones electrónicas donde como parte del paquete tendremos hardware y software que sustituirán a los votos en papel y a las urnas tal cual las conocemos. ¡Ah! Y claro, vienen incluidas en el kit "algunas" vulnerabilidades que harán de las elecciones un hervidero de posibles "anomalías" y bandos reclamando la veracidad de la elección. De por sí con papeles tenemos quejosos, imaginemos si un porcentaje definitorio de los votos fueran electrónicos.
Desde hace tiempo ya algunos expertos de seguridad han alertado sobre que "las máquinas de votaciones electrónicas representan una grave amenaza para tener elecciones justas y veraces/certeras".
Y no es para menos. Desde el momento mismo que las votaciones recaen en un sistema de cómputo con software, podemos esperar que existan diversas debilidades sobre todo en el software que permitan a atacantes alterar algún resultado de las elecciones con el poder de un click.
En Internet, uno puede encontrar varios sitios como "Accurate Voting" y estudios tipo paper mucho muy completos y serios como "Software Review and Security Analysis of Scytl Remote Voting Software" que precisamente tocan este delicado punto de la seguridad electrónica en las votaciones basadas en software o en votaciones remotas.
No es descabellado pensar que si el software como Adobe Reader, PowerPoint o los propios sistemas operativos (Windows, Linux) tienen debilidades que pueden y son constantemente aprovechadas, también será igual con el software involucrado con sistemas electrónicos de votación.
Y para muestra basta un botón. Recientemente la empresa Sequoia en EUA tuvo que permitir el escrutinio de su equipo de votación electrónica luego de que unos votos fantasma fueron computados para una elección; se percataron de la anomalía porque había más votos que votantes.
Basta una búsqueda en Google de "security electronic voting" para encontrar referencias del tema.
Las elecciones son algo serio, son el medio por el cual las personas expresan su voluntad y desde mi punto de vista no se puede dejar algo tan serio en manos de un sistema de software escasamente probado desde el punto de vista de seguridad o tal vez probado para que sea funcional mas no seguro.
Pienso que no es suficiente comprar la tecnología, instalarla, usarla y decir que es funcional y segura…todo lo anterior sin haber hecho pruebas exhaustivas, públicas, independientes y académicas que confirmen que el sistema es confiable. De otro modo se tendrá que confiar ciegamente en que el sistema de votación hace lo que dicen sus fabricantes y que es imposible atacarlo; en EUA (y otros países) no confiaron y ya han encontrado varios "detalles".
Así es que, aunque las votaciones electrónicas tienen ventajas, también presentan desventajas (y de éstas últimas a casi nadie le gusta hablar). La introducción de software en la arena electoral hace que pensemos dos veces antes de seguir adelante y tener en cuenta que las debilidades del código podrían tambalear una elección si no se tienen la precauciones necesarias.
Reducir los riesgos al máximo posible de una manera costeable y efectiva es una meta de auditores o del área de seguridad de la información en una empresa. ¿Cuáles serían las tres preguntas básicas cuando hablamos de reducción de riesgos? El Dr Eric Cole (@drericcole) planteó estas preguntas y deseo compartirlas con algunos comentarios propios:
A).- ¿Cuál es el riesgo que estamos reduciendo?
La primera pregunta básica gira en torno a saber cuál riesgo es el que estamos reduciendo: riesgo de perder la base de datos con información crítica de clientes, riesgo de que caiga una bomba atómica destruyendo datos e instalaciones o riesgo de tener un sistema operativo comercial manejando una operación crítica (planta nuclear)? Cada riesgo tiene su probabilidad de que una amenaza explote la debilidad adecuada y nos perjudique; y el simple hecho de tener claro qué riesgo estamos reduciendo exactamente suena simple pero puede llegar a ser complicado por ejemplo por la cantidad de amenazas y debilidades que debemos de considerar y las muchas que dejaremos fuera.
B).- ¿Es de los más prioritarios?
El o los riesgos que identificamos, son los más prioritarios? El de sistemas dirá que no, el auditor dirá que sí, la alta dirección dirá que puede que sí…al final es posible que llegue a ser subjetivo y finalmente nos quedamos con la misma pregunta: es de los más prioritarios? ¿Quién lo dice? ¿Cómo llegó a esa conclusión? ¿Qué metodología usó? Obviamente deseamos empezar a reducir el riesgo o riesgos más prioritarios para el negocio de manera inmediata dejando a otros riesgos menos importantes en la cola de pendientes a corto plazo.
C).- Una vez que encontramos la contramedida o control adecuado, es este control el que mejor relación costo-beneficio ofrece para reducir el o los riesgos?
Sí, deseo reducir el riesgo, pero no quiero que me salga más caro el caldo que las albóndigas; el control (administrativo, tecnológico, etc.) debe de tener un costo adecuado y en proporción al beneficio que dará. ¿Comprar e instalar una costosa red de almacenamiento SAN para dar continuidad al servicio de correo, es la mejor solución? ¿Bajar de Internet un antivirus gratuito para que proteja el servidor con la base de datos SQL corporativa es adecuado? No quiero gastar una fortuna para proteger algo que no vale la pena y viceversa.
Son tres preguntas básicas y claro, no se pretende reducir el enorme trabajo que se debe de hacer para reducir riesgos; en la realidad sé de primera mano que decirlo es una cosa…hacerlo es otra muy diferente.
¿Deben los fabricantes enviar parches para solucionar problemas de seguridad sin preguntar al usuario o se debe de esperar la autorización para proceder con la descarga? Tal vez sea mejor como sucede (¿sucede?) en el ambiente corporativo y no preguntar, sino enviar.
Empecemos por las corporaciones; en las empresas, debe de existir un método de parchado automático que actualice las diferentes aplicaciones. No es tarea fácil andar tras el último parche de las "n" que están en producción, hacer pruebas y enviar los parches…inclusive algunas veces se opta por actualizar las más importantes o de uso frecuente ante la abrumadora tarea de estar cazando parches, haciendo pruebas y aplicándolos en todas las máquinas de los usuarios.
Pero no nos desviemos del tema, el punto es que en el ambiente corporativo por lo general en donde existe un ambiente controlado y centralizado de envío de parches, es muy probable que éstos se instalen en los equipos sin previa autorización del usuario; tal vez un mensaje que simplemente informe del suceso.
Sin embargo, para los usuarios finales "caseros", lo cierto es que es una lata estar parchando, sin mencionar la tarea de estar al pendiente de los parches…seamos realistas, para el promedio de los usuarios simplemente es una tarea que no la llevan a cabo. Y tienen razón: cómo quieren los fabricantes de software que uno esté al pendiente de cuando salen parches para cada una de las aplicaciones instaladas? Perdón, pero todavía de que aceptamos software defectuoso, también es necesario seguirle la pista a cuanto parche de nuestras aplicaciones se publica?
Ante la anterior interrogante, se ha superado la discusión de si el mismo software debe de estar al pendiente de actualizaciones de manera automática (esto está más que claro que ya debe de ser parte de la funcionalidad de nuestro software, o al menos así debería de serlo si es un fabricante serio), pero ahora la discusión gira en torno a si se le debe de preguntar al usuario o no, ya que muchas veces el usuario pospondrá indefinidamente la actualización ya que (en efecto) es una molestia ocupar ancho de banda, esperar a que baje el parche, aguardar durante alentamiento de la máquina y esperar (no pocas veces) el re-boot.
Por ejemplo, un estudio de Google arrojó que los navegadores que esperan autorización del usuario para descargar updates, mantienen un porcentaje de desactualización elevado, mientras que el navegador que aplica parches de manera silenciosa (Chrome), tiene un porcentaje de desactualización bajo; es decir, es mejor aplicar sin preguntar (dictadura) que esperar que el usuario esté de buen humor para autorizar la actualización (democracia).
Así es que la pregunta está en el aire: se deja al usuario el poder de decisión o asumimos de antemano que hará una mala decisión y mejor lo hacemos por él? Espero que no sea el caso, pero la misma pregunta podría aplicarse en algunas corporaciones donde en mi opinión es preferible la dictadura de parchado.
¿El software que mantiene en casa se actualiza? ¿Lo hace automáticamente o no está seguro? ¿Qué preferiría: democracia o dictadura? Yo prefiero dictadura, siempre y cuando no haya re-boots forzosos y que existan puntos de restauración previos.
Me han preguntado qué elementos pueden hacer exitoso a un blog corporativo interno, es decir, aquél que es privado para los empleados y que se abre dentro de la empresa en el web de la organización. A continuación algunas ideas.
Blog es blog.- necesitamos entender lo que es un blog y para eso hay varias definiciones en la red y millones de ejemplos. Ahora vamos a decir lo que no es un blog: un blog no es un foro de anuncios o un foro de discusión con un solo tema. En efecto, un blog está "vivo", tiene entradas frecuentes, se puede comentar en él, hay opiniones y diversos temas que dan pie a la discusión y opiniones; eso es lo que debe de ser un blog corporativo interno ya que de otra manera, como dijimos, se puede convertir en un tipo de foro, no en un blog.
Propósito.- debemos tener claro cuál es el propósito del blog corporativo interno. ¿Es tener ideas para un nuevo producto? ¿Recibir inquietudes sobre un tema en particular? ¿Recopilar temas para pláticas que deseen recibir los empleados? Inclusive, tal vez valga la pena escribir el propósito en la descripción del blog.
Utilidad.- además de cumplir con el propósito corporativo previamente establecido, se debe de dar a los empleados de vez en cuando algún tip útil para su trabajo dentro de la organización o por qué no, para su tiempo fuera de la empresa. Por ejemplo, se les pueden hacer recomendaciones a los empleados de algunos antivirus gratuitos a instalar en sus computadoras personales, exponer sugerencias de cómo hacer presentaciones efectivas, recomendaciones de seguridad para los pequeños en casa mientras navegan Internet o anunciar que habrá un curso de motivación interno en los próximos días. Si además del propósito originalmente planteado, ofrecemos al empleado contenido que considere de utilidad (consejos, etc.), aseguraremos su interés por el blog corporativo de manera permanente.
Comentarios anónimos.- un blog es interactivo y parte fundamental es contar con comentarios de los empleados sin lugar a duda. Sin embargo, debemos de permitir que opcionalmente se dejen comentarios anónimos; los empleados se pueden sentir señalados e intimidados de dejar su comentario con nombre y clave de empleado, será mejor dejarlos libres de opinar lo que deseen pensando en que un moderador podrá eliminar opiniones ofensivas; otra técnica que puede usarse es advertir cuando se deja un comentario que a pesar de que las opiniones serán anónimas, ante el abuso se podrá rastrear al que se esté pasando de listo. Hablando de comentarios, sobra decir que las opiniones de los empleados son importantísimas, por lo cual deberemos de cuidar que las entradas inviten a dejar comentarios, a crear discusión; tal vez por ejemplo dejando una pregunta al final de la entrada se dé pie a la participación.
Automatizar respuestas a comentarios/preguntas.- un empleado que haga un comentario en una entrada del blog corporativo debe de poder tener la opción de recibir en su correo (por ejemplo) automáticamente las respuestas a su comentario. Resultará frustrante tener que visitar la página constantemente para saber si existen respuestas a un comentario o pregunta.
Respuestas .- a) Si un empleado hace una pregunta o comentario a los creadores/responsables del blog, siempre se debe de responder, de lo contrario parecerá que se ignoran las opiniones; b) No responder con agresividad es otra sugerencia para mantener un nivel de respeto dentro del blog.
Frecuencia de entradas.- no hay una ley sobre la frecuencia de las entradas en el blog corporativo interno; una vez al mes puede ser mucho muy poco y seis veces al día exagerado; hay que encontrar un punto medio (¿tal vez dos a la semana?).
Longitud de entradas.- claridad y simplicidad son la regla; por otro lado, lecturas que duren más de cinco minutos están prohibidas; las entradas en el blog se deben de leer en aproximadamente 3 minutos.
Suscripción al blog.- se debe de tener un mecanismo para estar recibiendo las entradas del blog (como lo es el RSS); tener que visitar la página web constantemente y cada vez que deseemos leer lo más nuevo derivará en que se visitará la página web un par de veces (si bien nos va) y los empleados ya no irán más al sitio. Sin un mecanismo como RSS para que los empleados puedan suscribirse a las actualizaciones del blog, tengamos por seguro que el blog morirá o no tendrá la fuerza y resultados que habíamos esperado.
Aprendizaje.- la participación de los empleados en el blog se da a través de comentarios, preguntas o sugerencias; dichas sugerencias y opiniones se deben de analizar para ver qué ideas o recomendaciones son adecuadas para poderlas llevar a cabo. Si se ignora la participación de los empleados en el blog, tal vez deberíamos preguntarnos para qué publicamos un blog en un principio (en este caso tal vez lo que debimos haber publicado es una simple página de noticias o de anuncios).
Ortografía.- sobra decir que la ortografía de las entradas del blog es crucial.
Imágenes.- en Internet, los blogs se complementan con imágenes ya que visualmente resultan atractivas (por ejemplo, el blog Alt1040 casi no publica entradas sin su respectiva imagen). Por lo tanto, debemos de hacer atractivo el blog corporativo y darle ese toque visual con alguna imagen relacionada a la entrada del blog.
Buscador Interno.- si el blog se vuelve considerablemente grande, se agradecerá un buscador interno para que el empleado pueda buscar algún tema o entrada en particular.
Apoyo de web 2.0.- ¿Vale la pena complementar el blog con páginas de Internet del llamado web 2.0? Tal vez desarrollamos el blog en la página web interna, pero es posible complementar dicho blog con sitios externos como Twitter, FaceBook, LinkedIn o Hi5? Podríamos evaluar la posibilidad de crear una página privada en Hi5 donde sólo los empleados puedan tener acceso, o un grupo privado en LinkedIn, así como una cuenta de Twitter para ser seguida por los empleados. Sobre todo los empleados de recién ingreso y corta edad apreciarán participar en páginas del web 2.0.
Estilo.- aunque el contenido es rey, tal vez deberemos evaluar proyectar un blog con una interfaz fresca y atractiva, tal vez lejos del aburrido diseño "corporativo".
Títulos atractivos.- al menos en Internet, el título del blog y tal vez las siguientes dos o tres líneas definirán si el lector se queda o se va. Probablemente suceda lo mismo en el blog corporativo interno, por lo que deberemos de cuidar el "atractivo" del título para atraer a los visitantes a leer la entrada completa. Un título se puede leer en 3 ó 4 segundos, es lo que tenemos para atraer o ahuyentar al lector.
De tú.- no es regla, pero tal vez si nos dirigimos al lector en segunda persona resulte atractivo para el lector; "Tú eres quien nos puede ayudar para …", "¿Tú qué harías?", "Cuando tú participas haces que…", "La clave eres tú…".
Navegando en Internet, me encontré este artículo del sitio CIO.COM que me pareció interesante para compartir. Anexo un resumen y la liga, pero vale la pena leerlo completo.
1. You need to win the first battle. 2. The first battle could be over in nanoseconds. 3. Cyberwarfare may involve subtle, targeted attacks rather than brute force. 4. The enemy's goal may be to cause chaos rather than destruction. 5. Data manipulation -- rather than data theft or destruction -- is a serious threat. 6. Private networks will be targets. 7. When private sector networks are hit, the Defense Department will assume control. 8. Private networks might be used to launch a cyberattack. 9. Don't ignore the insider threat. 10. Cyberwarfare is warfare.
Entradas
