martes, 29 de diciembre de 2020

Libro del Génesis Computacional

 



En el principio creó Babbage la máquina mecánica analítica y Lovelace el procedimiento para usarla.


Y el cómputo estaba desordenado y sin rumbo, y las tinieblas estaban sobre la faz de la Primera Generación, y el Espíritu de los Tubos al Vacío se movía sobre la faz de los relay.


Y dijo Turing: Sea Colossus Mark 2; y fue de "propósito-general".


Y vio Mauchley y Eckert que la máquina era buena; y separaron a ENIAC de las tinieblas.


Y llamó Backus al FORmula TRANslating system como lenguaje FORTRAN, y a la herramienta para hacer la traducción hacia assembler como Compilador. Y fue la tarde y la mañana de la Segunda Generación.


Luego dijo IBM: Haya expansión en medio de las máquinas, y separó la IBM 1401, 1402, 1403, 1620 y la 7094.


E hizo IBM la Familia System/360, y separó los circuitos integrados que estaban dentro de la Familia. Y fue así.


Y llamó IBM a la expansión y la multiprogramación como OS/360. Y fue la tarde y la mañana de la Tercera Generación.


Dijo también Brooks: Júntense las experiencias que están en "The Mythical Man-Month" en un lugar, y descúbrase la Ingeniería de Software. Y fue así.


Y llamó Multiprogramación a que cada job pueda funcionar de manera aislada de los demás, y al hardware para proveer protección, como Memoria. Y vio que la CPU era buena.


Después se dijo: Produzca la integración de los periféricos como el lector de tarjetas, y la automatización de la lectura creando el spooling. Y fue así.


Produjo, pues, el Timesharing para múltiples usuarios, se le asignó entonces un terminal online a cada usuario. Y vio que la CPU seguía siendo buena.


Y fue la tarde y la mañana del preemptive multitasking.


MIT dijo luego: Haya CTSS (Compatible Time Sharing System); y sirva de interactividad que no había sido posible anteriormente sobre la tierra. Y fue así.


E hizo MIT, Bell Labs y General Electric las dos grandes lumbreras; la lumbrera mayor MULTICS, y la lumbrera menor UNIX.


Y fue la tarde y la mañana de los minicomputadores.


Dijeron Thompson y Ritchie: Produzcan UNIX en Lenguaje C, en la abierta expansión de los sistemas operativos.


Y creó AT&T el System V, y todo bit que se mueve en este, y la Universidad de California en Berkeley el BSD. Y vieron que eran buenos.


E IEEE los bendijo, diciendo: Fructificad y multiplicaos, y propuso una interfaz estándar de llamadas al sistema (syscalls) conocida como Portable Operating System Interface (POSIX). Para que podais escribir programas que funcionaran correctamente bajo las distintas versiones de UNIX.


Y fue la tarde y la mañana de POSIX.


Entonces dijo Stallman: Hagamos al hombre usar nuestra imagen, conforme a nuestra semejanza; y señoree que GNU is Not UNIX.


Y creó Stallman a GNU General Public License a su imagen, a imagen de Stallman lo creó; GNU Manifesto y GNU Hurd los creó. Y en la tierra hubo dos versiones, MINIX de Tanenbaum y Linux de Torvalds.


Y dijo INTEL: He aquí que os he dado computadoras personales con VLSI, que están sobre toda la tierra, y todo chip Intel 8080.


Y a toda interactividad de la tierra, deberá agradecerse a Engelbart. Toda MacOS, Windows y movilidad será para producir. Y fue así.


Y vio la Computación todo lo que había hecho, y he aquí que era bueno en gran manera. Y fue la tarde y la mañana de la Quinta Generación.

lunes, 21 de diciembre de 2020

WRITE-UP: Konohagakure no Sato

 


Nombre del reto: Konohagakure no Sato

Tipo de reto: Esteganográfico

Nivel: Principiante

Detalle del reto:

Konohagakure no Sato (木ノ葉隠れの里) 

Danzo Shimura es un ninja muy poderoso de la Aldea de la Hoja, cuya naturaleza de chakra es el elemento viento. Además es un poderoso crypto-malware, cuya clave de descifrado la tiene bajo su poder, el temido Danzo!!. Recupérala: Has clic aquí

Solución:

Hay diferentes maneras de resolver este reto, y al ser de nivel principiante, la descripción del reto podría (no en todas las ocasiones...) traer pistas de cómo resolverlo. Veámoslo holísticamente primero.

El reto habla de una ficticia Aldea oculta de la Hoja, del shōnen manga Naruto. Al ser una serie animada japonesa (de ahí los caracteres kanji del nombre del reto) se colocó el nombre del reto en sí mismo, como una pista secundaria de lo que habría que buscar para encontrar el flag.

Para quien haya visto dicha serie animada, el tema central es la vida de los ninjas, tal cual la imagen de uno de sus protagonistas: Danzo Shimura. Pues, la palabra ninja tiene un sinónimo para masculino llamado: SHINOBI. Y este es precisamente, el flag a encontrar.

Ahora, la solución técnica. Obtenemos una imagen de un ninja que parece estar escondiendo algo. Al realizar ciertas comprobaciones, descubrimos que podría existir un archivo oculto. 

Así que, descargamos el archivo danzo-shimura.png del repositorio y lo copiamos a nuestro Kali o Parrot.

Podemos comenzar con la herramienta file para sacar información básica del archivo:

$ file danzo-shimura.png


Al no ver nada fuera de lo normal, probaremos la herramienta exiftool, para revisar con mayor detalle los metadatos:

$ exiftool danzo-shimura.png


Misma conclusión. Probemos una tercer herramienta para verificar si la imagen sirve a manera de portador de contenidos. Usemos binwalk:

$ binwalk danzo-shimura.png


Esta vez encontramos algo útil, un RAR comprimido dentro del PNG. Binwalk tiene la opción para extraer los archivos comprimidos. Usemos lo siguiente:

$ binwalk -e danzo-shimura.png

Este comando creará una carpeta con el contenido extraído:


Perfecto! Lo más obvio es ese archivo WAV. Normalmente cuando obtengo archivos de audio, trato de revisarlos (porque suelen tener información dentro) a nivel de espectrograma y, normalmente uso una herramienta llamada Sonic Visualizer.

$ sonic-visualiser wind.wav

En el menú principal escoges Pane > Add Spectrogram.


Y listo! Ahí tienes el flag que andabas buscando:


Pudo ser más complicado? Si. Pero la idea era darte un acercamiento a la esteganografía básica. Bien, nos vemos.











lunes, 17 de agosto de 2020

Versión 7 de REMnux Linux para analistas de malware.

 REMnux Linux 6 ya disponible: Descubre esta distribución para ...

Está disponible para descargar una nueva versión del kit de herramientas REMnux Linux para analistas de malware.

REMnux es un conjunto de herramientas de Linux para la ingeniería inversa y la disección de software, incluye una colección de herramientas gratuitas creadas por la comunidad que permite a los investigadores investigar malware.

El kit de herramientas fue lanzado por primera vez en 2010 por el investigador de SANS, Lenny Zeltser , quien aún mantiene el software.

La última versión de la herramienta es la 7, que incluye decenas de herramientas nuevas , donde algunas antiguas fueron eliminadas de la distribución de Linux.

La forma más sencilla de utilizar la distribución REMnux es descargar su máquina virtual en formato OVA e importarla a un hypervisor.

El kit de herramientas también podría instalarse como una  distribución independiente de Linux o ejecutarse dentro de un contenedor Docker .

Las herramientas de este kit de REMnux, permiten analizar archivos ejecutables y artefactos sospechosos, realizar análisis estáticos y dinámicos de código malicioso, ejecutar análisis forenses de memoria en un host comprometido, explorar interacciones de red y sistema para análisis de comportamiento.

jueves, 11 de agosto de 2016

Abecedario de la Ciberseguridad: Adware

Pura vida gente!

Hoy les comienzo a ofrecer una serie de posts orientados a conceptos sobre ciberseguridad.


Adware

¿Qué es?

Adware es un acrónimo compuesto por: "Advertising" o "Ad" (Publicidad) y "Software" (Programa), para referirse a sistemas de publicidad basados en sistemas informáticos.

Características básicas

  • Es una forma virulenta de hacer negocios con publicidad. 
  • Normalmente se ofrecen productos o servicios digitalmente y sin permiso expreso al público, por medio de un sistema informático.
  • Existe el Adware malicioso (puede incluir Spyware) que ofrece un servicio o producto falso y el Adware de pago. Este último se crea mediante la contratación de desarrolladores o diseñadores de software por parte de agencias de publicidad, que pueden estar incluidos en software de terceros o en ambientes web.

¿Cómo reconocerlo?

Si un sistema computacional está infectado con Adware, normalmente hay señales claras (y otras no tanto...) que el usuario puede notar. Por ejemplo:
  • Pop-up ads: anuncios o páginas que se hacen visibles al dar clic en un vínculo web o en un formulario. Existen los Pop-downs que vendrían a ser lo mismo, sin embargo, dichas ventanas o anuncios se muestran ocultos al usuario, es decir, ventanas que se minimizan inmediatamente al ser invocadas o se colocan justo por detrás de la ventana que el usuario tiene abierta.
  • Videos o pistas de audio: que se reproducen sin permiso expreso del usuario.
  • GIF animados: que aparecen desde cualquiera de los lados del monitor sin permiso expreso del usuario.
  • Barras de búsqueda: que se instalan en los navegadores web sin permiso expreso del usuario.
  • Ventanas invisibles: que bloquean el uso normal del ratón (mouse) cuando se hace clic, a esto se le conoce como "to hijack clicks", "clickjacking" o más técnicamente "UI redress attack". Esto provoca que el usuario sea engañado al dar clic sobre algo y sea redirigido a otro lugar que no escogió.

¿Cómo defenderse?

  • Prevención, es la primera norma. No navegar en sitios o instalar software de dudosa procedencia.
  • Para sistemas operativos, instalar anti-adware, que normalmente vienen incluidos en paquetes de antivirus.
  • Para navegadores web, instalar plug-ins, por ejemplo ScriptSafe que no permiten que se ejecuten scripts sin permiso expreso del usuario, o bien, bloqueadores de publicidad como AdBlock.
  • Cuidado con los on-line stores de Apps para celulares. Hay estudios que revelan que un porcentaje elevado de Apps son maliciosas. Ver este paper de Bitdefender respecto al tema.
Nos vemos estimados!!

viernes, 5 de agosto de 2016

Tecnólogos y habilidades blandas

Pura vida gente!

Mucho se ha escrito sobre el tema, por lo que voy a plantearlo de manera distinta. En Costa Rica, mi país, tenemos una prerrogativa importante respecto a varios temas de carácter tecnológico-legal.

Voy a comenzar mi elocución con datos de la Plataforma Tecnológica sobre el Estado de las capacidades para la Ciencia, la Tecnología y la Innovación en Costa Rica, que forma parte del Programa Estado de la Nación (PEN). Este proceso de investigación y análisis que culminó con la publicación del Primer Informe Estado de la Ciencia, la Tecnología y la Innovación, en 2014, generó un rico acervo de información estratégica sobre la situación del país en estos temas.

A partir de ello, el PEN creó la plataforma Hipatia, un bien público al cual se puede acceder mediante la dirección www.eccti.or.cr y que ofrece información desde dos aplicaciones. La primera de ellas contiene seis paneles (dashboards), por medio de los cuales se puede hacer consultas sobre los muchos temas de tecnología.

La segunda aplicación consiste de dos buscadores. Uno que permite identificar los laboratorios públicos que ofrecen servicios tecnológicos y otro que brinda información sobre las acciones de vinculación que desarrollan las universidades adscritas al Conare.

Citado lo anterior, vamos con los datos. El link para ver los datos completos este.

Tenemos un gráfico como el siguiente:


Observen la traza de color negro. La pregunta de control que da origen a los datos, que aprovisionaron el gráfico fue: ¿De mantenerse las tasas actuales de formación a nivel superior, cuáles disciplinas podrían en el mediano plazo tener mayores dificultades de relevo generacional?

De lo anterior se puede entender que en las carreras de ingeniería y de tecnología, hasta el 2015, casi el 40% de los graduados está en un rango de 26 a 35 años de edad. Por lo que basados en la brecha generacional vista, los paradigmas de obtención de conocimiento y los modelos de contratación laboral deben (y deberán) ajustarse a las necesidades inmediatas de este grupo de nuevos profesionales.

En CRC no necesariamente se requiere una educación formal o universitaria. Hay muchos profesionales que no se crearon a través de una universidad porque son autodidactas. Muchos de ellos son profesionales muy capacitados y competentes, y por supuesto, están aquellos cuya calidad profesional es cuestionable. Pero el hecho curioso, es que se tenga o no título universitario existe gente en ambas aristas, buenos y malos. Por lo que cabe una pregunta: ¿Se puede asegurar la calidad solamente basándose en la obtención de un título universitario?

La respuesta a eso no es sencilla. No es binaria: si o no. Ya que hay factores sociales, psicológicos, académicos, o económicos que hacen que una persona logre interiorizar que su profesión, para lo que estudió, es pieza importante en el desarrollo del país, y no solo ese "algo con que defenderse para poder comer".

Me limito a los hechos. Uno de los niveles máximos de especialización en campo un profesional determinado es el doctorado (PhD). Vean el siguiente gráfico:


Ciencias de la computación y afines está muy por debajo de la media (5,2% aprox.), de profesionales que alto grado de especialización. ¿Razones? El estudio muestra que, los formados en computación e inteligencia artificial son quienes ostentan o se encuentran entre los mejores perfiles laborales. Pero, ¿por qué el mercado laboral sigue necesitando tanto profesional aún?

Adicionalmente, los estudios de carácter multidisciplinario requeridos para abordar temas interdisciplinarios complejos que podrían tener un mayor impacto en la atención de problemas de la realidad nacional corresponden a tan solo un 1% de la producción.

Para responder a la última pregunta, aquí es donde las habilidades blandas entran: empatía social, responsabilidad, ética profesional, resiliencia, asertividad, facilidad de comunicación, trabajo en equipo, proactividad, adaptación al cambio, creatividad y muchas otras más.

Sería posible tan siquiera considerar que, una charla de 3 o 4 horas de ética profesional sea suficiente para desarrollar dichas habilidades (más las que no se mencionaron). Sería mejor formar profesionales (con o sin título) a nivel país, de manera integral entre industria-academia-estado con programas orientados al servicio social y el emprendedurismo, para convencer, "evangelizar" si se quiere, a las personas para formar un cambio cultural real.

Si la persona quiere hacer carrera y lograr puestos más altos, junto a la preocupación que debe tener por sus competencias técnicas, tiene también que preocuparse seriamente del desarrollo de sus habilidades blandas, que son en definitiva las que conducen al desarrollo y las que generan proyecciones en el mundo laboral moderno.

Mi país es extraño en muchas cosas. De grandes contrastes. La libertad de profesión simplemente no se debería encasillar, que de todas formas por estar protegida por Constitución no se puede, ya que la convertiría en una dictadura de las minorías. En el caso específico de la ciencias de la computación e informática, con su pluralidad permite formar economías basadas en la información y el conocimiento. Siempre será mejor apuntar como gremio a la apertura de pensamiento, y saber que se es mejor profesional cuando hay una infraestructura que te apoya y no te limita.

Cierro con un gráfico que me gustó.


La importancia de contar con personal idóneo, está por encima de "cursitos con descuento" u otros incentivos. Tender puentes, es hacer Patria. La imposición de reglas sin sentido nunca ha sido ni será la solución.


jueves, 21 de julio de 2016

Debemos adquirir una deuda con la Sociedad.




Nosotros como profesionales tenemos, debemos, adquirir una deuda con la Sociedad.

Hola. Me gustaría tratar un tema que toma de frente a todas las esferas sociales modernas: el egoísmo moral, o egoísmo ético.

En ese contexto, me salta una pregunta cuasi retórica basada en la afirmación que indica que, la libertad es la condición ontológica de la ética; pero la ética es la forma reflexiva que adopta la libertad.

¿Es la ética aquello que se lleva a cabo en la búsqueda o en el cuidado de uno mismo?

Decía Søren Aabye Kierkegaard, un prolífico filósofo y teólogo danés del siglo XIX:

“Quien se torna grave por muchas cosas, por toda clase de grandes y sonantes cosas, pero no ante sí mismo, es –a pesar de esa gravedad- un frívolo bromista.”

En palabras más llanas, puedes engañar a todo el mundo pero no a ti mismo. Y es esa imagen del individuo frente a su Yo,es lo que lo puede tonar un egoísta moral. Y que de darse dicho egoísmo, a la larga se vuelve evidente para los que le rodean, pero lo aceptan sin ton ni son como un perro cachorro a la teta de su madre.

Para dejar las cosas claras desde el inicio y por aquello que les cause pereza leer, no me cabe en la cabeza una definición de ética sin estar ligada al altruismo.

El cuidado de uno mismo ha sido, en el mundo grecorromano al menos, un modo mediante el cual la libertad individual ha sido pensada como ética. Si usted consulta toda una serie de textos que van desde los primeros diálogos platónicos hasta los grandes textos del estoicismo tardío (Marco Aurelio por ejemplo), podrá comprobar que este tema del cuidado de uno mismo ha atravesado realmente toda una reflexión moral. Pero tranquilo, no lo voy a enviar a leer eso. Solamente, llegue al final del texto presente.

Es interesante ver cómo en nuestras so­ciedades, por el contrario, el cuidado de uno mismo se ha convertido (me declaro ignorante desde cuando) en algo... sos­pechoso. Ocuparse de uno mismo ha sido denunciado casi espontáneamente como una forma de amor a sí mismo, como una forma de egoísmo o de interés individual en contradicción con el interés que es necesario prestar a los otros o con el necesario sacrificio de uno mismo.

Por ejemplo el cristianismo. La cuestión es mucho más compleja porque en el cristianismo se procura que la salvación sea también una manera de cuidar de uno mismo. Pero la salvación se efectúa en el cristianismo a través de la renuncia a uno mismo.

Se produce así la paradoja del cuidado del Yo, pero esta es otra historia. Para volver a la cuestión que planteaba, creo que entre los griegos y los romanos (sobre todo entre los griegos), para conducirse bien, era necesario cuidar de sí, a la vez para conocerse (gnosis seauton) y para superarse a sí mismo como persona. Me permito agregarle: "y para controlar los apetitos que podrían dominamos".

uuuhhhhh!!!... ya casi llego al punto.

Los que apoyan el egoísmo ético, se basan en al menos,  tres líneas de razonamiento. Una de las cuales me siempre me ha llamado la atención, y cito:

 "El altruismo provoca que se abandonen sueños, proyectos, etc., sacrificando la vida propia para salvar a otras personas. Por lo tanto en la ética del “altruismo”, la vida de un individuo o los intereses propios no tienen valor y se debe estar dispuesto a hacer un sacrificio para salvar a otros."

Aquí es donde el Yo se convierte en Yoismo.

Tengo una frase que me encanta: "La primer palabra que sale de la boca, sale de su corazón.". Es poco probable que una persona con egoísmo ético se de cuenta. Ya que su primera preocupación es amontonar el protagonismo. Es escribir o hablar en primera persona "YO".

El cuidado de sí es, el cuida­do de los otros. Ética en si misma. Esperar quedar salvo de toda culpa por hacer el bien, porque al final hay una recompensa, es tan vacío y banal como regalar billetes de 5 dólares a corredores de bolsa en Wall Street.

Ámese a sí mismo, si. Pero no se enferme con "migomismo". Si el egoísta ético estuviese en una posición tan ventajosa que le garantizase su propia seguridad ante los demás, nada le impediría hacer a estos lo que no quisiera que le hicieran a él. Cierto? Piénselo detenidamente.

El egoísmo ético no puede ser correcto porque no puede dar soluciones a los conflictos de interés. Es decir, si sólo tomáramos en cuenta intereses propios, nunca aceptaríamos que éstos quedaran arruinados, ergo, no podría haber soluciones morales a problemas de intereses.

Alea iacta est.


miércoles, 13 de enero de 2016

2016 Mejores prácticas de seguridad de la información


Pura vida estimados!

Comienzo este 2016 compartiendo con ustedes una serie de buenas prácticas en ciberseguridad. Espero les sean de utilidad.

Y aquí, el problema

El número de ataques cibernéticos exitosos, tomando por ejemplo a los EE.UU., han crecido 144% en los últimos cuatro años, y el resto del mundo está cerca. En ese mismo tiempo, el costo para la compañía promedio casi se ha duplicado. (Fuente: 2014 Cost of Cyber Crime Study)

En promedio, los APT persisten en la red desde siete meses antes de que sean detectados. Y el tiempo para resolver esos ataques una vez detectados, tienen un incrementado de hasta 45 días más. (Fuente: 2014 Cost of Cyber Crime Study)

Es obvio decir que las víctimas sufren pérdidas financieras, daños a la marca y daño a las relaciones con clientes. Solamente vean los casos del 2014-2015 de la banca nacional en Costa Rica.

La tecnología permite detectar y bloquear los ataques, pero la tecnología también debe ser aplicada por personal calificado a través de procesos de seguridad reflexivos y probados. Un programa de ciberdefensa y respuesta eficaz debe proporcionar estos procesos, administrados por un equipo de profesionales junto a un Chief Information Security Officer (CISO), que proporcione el liderazgo para planificar, ejecutar y mantener dicho programa.

Y ahora las buenas prácticas.

1. Realizar una evaluación de riesgos


Valore esto como un inventario de datos que podrían ser robados y servicios que podrían ser interrumpidos, junto con una estimación del costo que su empresa incurriría si esos activos estuviesen comprometidos.
  • ¿Por qué?
Diferentes tipos de datos y recursos, representan diferentes costos para el negocio en caso de robo o equipo dañado. Por ejemplo, dependiendo de su nicho de mercado, la información de marketing puede que no sea tan valiosa para usted como los datos de los clientes. Ya que siempre serán limitados recursos de seguridad de la empresa, debe planificar su inversión y administrar sus recursos para ofrecer la mayor protección a los datos considerados críticos.
  • ¿Cómo?
Haga un inventario de sus sistemas para identificar los datos que podrían ser robados y los servicios que podrían ser interrumpidos. Sobre la base de la cantidad y el tipo de datos, estime el coste para recuperar los datos o mitigar el daño. Considere siempre el peor de los escenarios.
  • Factores de éxito
Involucre a los stakeholders empresariales en el proceso de evaluación de riegos.
Considere la posibilidad de pérdida potencial de ingresos y el daño a la imagen.
Establezca prioridades para la protección y recuperación (desempolve su BCP).

2. Desarrolle un plan de seguridad empresarial


El plan de seguridad empresarial deberá contener tanto la estrategia, como la táctica para llevar a cabo la detección de amenazas, respuesta y recuperación.
  • ¿Por qué?
Su plan deberá ser la guía para su inversión en tecnologías de seguridad y en la contratación de personal de seguridad. Deberá establecer procesos para la investigación de actividades sospechosas, protección de los recursos, y como responder a fallas de seguridad (este punto es crítico por el tiempo que debería invertir). También es necesario establecer parámetros básicos para dar declaraciones a la mesa directiva, a los socios, a la prensa o a quienes corresponda, sin poner en riesgo los activos de la empresa y quien o quienes tendrán la responsabilidad de responder si se produce una violación a la seguridad.
  • ¿Cómo?
Las organizaciones poseen diferentes procesos de planificación, sin embargo, en cualquier plan de seguridad empresarial deben participar tanto las partes interesadas y expertos funcionales de confianza, para establecer los objetivos correctos y definir con cuáles procesos van a ser alcanzados. Recuerde la máxima: "Si un objetivo no se puede medir, no sirve.".
  • Factores de éxito
Defina cómo va a proteger los activos, cómo va a detectar las amenazas, y cómo va a responder a las fallas o a la actividad sospechosa.
Enfóquese primero con las prioridades establecidas en la evaluación del riesgo.
Sea realista; el plan debe estar alineado con el presupuesto.
Revise y actualice toda la documentación regularmente.

3. Coloque a la gente correcta en el lugar correcto


Las personas cualificadas son la parte más crítica de su plan y de la seguridad cibernética, y son a menudo la parte más difícil de obtener. Debe identificar las habilidades y los niveles de habilidad que poseen, con el fin que sean idóneos ejecutar el plan de seguridad de la empresa. Hecho lo anterior, deberá establecer las funciones y responsabilidades de cada grupo e individuo.
  • ¿Por qué?
Casi todo administrador de sistemas o ingeniero de red sabe qué hacer si un sistema o enlace de red se cae. Pero aplicar inteligencia en la seguridad cibernética es todavía parte de un campo de carreras emergentes, por lo que se tiene que saber lo que busca, además de contar con el equipo básico que se necesita para ejecutar el plan y supervisar el trabajo de los miembros menos entrenados con el fin de que adquieran mayor experiencia.
  • ¿Cómo?
Las prácticas de contratación varían de una compañía a otra. Comience con una buena comprensión de las habilidades que necesita la persona para satisfacer el puesto a cabalidad, y luego evaluar las capacidades de los candidatos para ejecutar el plan de seguridad. Recuerde la máxima: "Adecuar una persona para un puesto, y no un puesto adecuarse a una persona." Los profesionales de seguridad certificados son de alta demanda, por lo que el ambiente laboral debe estar a la altura, así que asegúrese de ofrecer un ambiente de trabajo y oportunidades de desarrollo que fomenten la retención.
  • Factores de éxito
Desarrolle las descripciones de los puestos, sus funciones y responsabilidades con base al plan de seguridad.
Busque gente con experiencia en las áreas especializadas de alta prioridad del plan: móvil, nube, seguridad de aplicaciones, etc.
Examine los certificados de alto nivel. Por dar un ejemplo, el más reconocido es el ISC2: Certifed Information Systems Security Professional (CISSP). Así se asegura que los profesionales tengan cierto nivel.

4. Despliegue sus defensas


Las tecnologías para defensa cibernética ofrecen una serie de funciones de seguridad interesantes: protegen los datos críticos con cifrado; detectan y bloquean los ataques que desean penetrar en la red; detectan brechas de seguridad, por lo que pueden responder rápidamente para proteger los activos; y permiten al staff de seguridad investigar dichas infracciones de actividad sospechosa. Al desarrollar el software en casa, también se pueden aumentar las defensas al incluir seguridad en el proceso de desarrollo.
  • ¿Por qué?
Esperar a ser vulnerado, es asumir que ya se ha producido dicho problema. Ninguna defensa cibernética es 100% eficaz, por lo que el despliegue en capas de las defensas que posea, son una solución óptima para reducir el riesgo. Recuerde que hay un balance entre la eficiencia y la seguridad, por lo que a mayor profundidad en los anillos de seguridad la defensa debe ser menos restrictiva, para que en si misma no se vuelva un problema inmanejable para la empresa. Por supuesto, dicha flexibilidad nunca debe ser sinónimo de descuido.
  • ¿Cómo?
Los cibercriminales se han convertido en expertos en evadir defensas, aunque siempre se pueden encontrar pistas en el entorno. Las tecnologías de seguridad recopilan y analizan grandes volúmenes de datos, los cuales son procesados para hacer threat intelligence por medio de los investigadores de seguridad. Los dispositivos como los cortafuegos de próxima generación y sistemas de prevención de intrusiones recogen datos de la red en tiempo real y aplican inteligencia de amenazas para detectar ataques.

La información de seguridad puede ser gestionada por medio de sus eventos en un Security Information and Event Management (SIEM), el cual acumula los datos de los logs y otras fuentes en todo el entorno de red, para correlacionarlos y analizarlos. Esto permite detectar patrones de ataque y ayuda al equipo de operaciones de seguridad a investigar y remediar dichos ataques.
  • Factores de éxito
Es necesario algo más que los cortafuegos y antivirus para dar seguridad a un sistema autónomo.
Implemente su defensa en capas que pueden bloquear los ataques en el borde de la red, detectar y detener las comunicaciones de malware dentro de la red; además de detectar y remediar las intrusiones exitosas.
Seleccione las soluciones de seguridad empresariales que aprovechan la mejor inteligencia de amenazas disponibles.
Recoja la mayor cantidad de datos del entorno que pueda.

5. Respuesta a incidentes


Cuando se produzca una brecha de seguridad (y ocurrirá sin lugar a dudas...) el plan de seguridad debe entrar en acción, para así proteger los activos críticos (como prioridad en su plan). El equipo encargado de llevar esta acción deberá: detener el ataque o al menos dar en cuarentena los sistemas afectados, resolver la vulnerabilidad explotada (remediar); recoger y preservar los datos que podrían ser utilizados como prueba en un proceso penal; comunicarse con los clientes afectados, empleados y otros para cumplir con las responsabilidades legales.
  • ¿Por qué?
La velocidad y la efectividad de su respuesta determinará cuánto daño sufrirá. Una investigación muestra que el tiempo promedio para resolver un ataque cibernético en empresas de Estados Unidos es de 45 días a un costo de casi 1.6 millones USD por incidente. Peor aún, los cibercriminales pueden seguir filtrando datos hasta que el ataque se detenga por completo. Súmele a eso, que su empresa estará sujeta a los requisitos legales para la notificación a los clientes afectados, socios y autoridades policiales.
  • ¿Cómo?
En caso de una violación a la seguridad, debe ejecutar su plan de seguridad para la respuesta a incidentes. Los miembros del equipo y otros en la organización deben conocer sus responsabilidades y cómo realizarlas. Los procesos deben abarcar todo lo que se debe hacer, pero deben mantenerse lo suficientemente simple para ejecutarse sin problemas. Las obligaciones legales y de comunicación deberían haber sido identificadas y planeadas por adelantado.

La acción más urgente para remediar es, detener el ataque. Ejemplos: arreglo de las vulnerabilidades en el código, bloqueando el ataque, o poner en cuarentena a los sistemas infectados. La retroalimentación posterior debe evaluar los daños, realizar cualquier comunicación necesaria, identificar las lecciones aprendidas y agregar lo aprendido en su plan de seguridad.
  • Factores de éxito
Practique su plan de respuesta a incidentes antes de tener que ejecutarlo de verdad.
Identifique y corrija las deficiencias en el plan.
Aplique técnicas forenses aceptadas en su país para preservar la evidencia.

Hay una frase que reza: "La mejor defensa en la ofensiva.". Yo la cambiaría por: "La mejor defensa es la que más se practica."


Saludos gente, nos vemos.