"Si puedes bromear sobre algo muy importante, has alcanzado la libertad"

[ Maurice Béjart - Coreógrafo Suizo/Francés - 1927-2007 ]


Boletín 153 - La no tan delgada línea entre legislación y justicia - 20/06/2010


En el Día de la Bandera Argentina... ¡FELIZ DÍA DEL PADRE!
En exclusiva el Sorteo de Libro "Ethical Hacking - Un enfoque metodológico" por E. Sallis, C. Caracciolo, M. Rodriguez.

Concurso Diplomatura en Derecho y Tecnología


1. La no tan delgada línea entre legislación y justicia
2. La seguridad NO es un Sistema Operativo
3. Sorteo de Libro "Ethical Hacking - Un enfoque metodológico"
4. Compendio de conocimiento de Seguridad de la Información
5. Segu-Info busca autores
6. Apoya a Segu-Kids, Juntos en la Red


1. La no tan delgada línea entre legislación y justicia


El presente artículo ha sido desarrollado por Sebastián Bortnik, creador del Blog Un Mundo Binario y uno de los moderadores de la comunidad de Segu-Info.

En los últimos años ha aumentado la presencia en los eventos sobre seguridad informática de paneles y exposiciones sobre legislación. Abogados especializados en el tema suelen dar sus aportes o bien a través de debates sobre las leyes existentes o que deberían haber; o bien a través de la difusión de aquellas leyes ya existentes, según el país donde sea el evento. Particularmente en Argentina y la región, es marcadamente creciente el interés en la temática y también la aparición de nuevas leyes en la materia.

No obstante, cuando se discuten las leyes, ¿se está discutiendo la justicia? Sin llevar la discusión a términos filosóficos, sí creemos que desde un punto de vista tecnológico hay algunos aspectos a considerar, además de la legislación, para que exista justicia en los delitos informáticos. Y para expresar esa idea, primero será contada una historia.

El artículo completo puede ser descargado desde el siguiente enlace.


¡Gracias Sebastián!



2. La seguridad NO es un Sistema Operativo


El presente artículo ha sido desarrollado por Sebastián Bortnik, creador del Blog Un Mundo Binario y uno de los moderadores de la comunidad de Segu-Info.

En los últimos días los medios tecnológicos y especialmente aquellos dedicados a la seguridad de la información han puesto en primera plana, una vez más, una antigua discusión: ¿cuál es el sistema operativo más seguro? Entre tantas opiniones diversas aparecen viejas antinomias, profundos fanatismos y fundamentalmente mucho ruido que al fin y al cabo no tiene como objetivo final más seguridad. Entre tantas lecturas se me ocurrió una pregunta que parece menos interesante, pero que quizás sea de utilidad: ¿cuál es el sentido de esta discusión?


El contexto

La última semana se filtró la noticia de que Google dejaría de utilizar Windows por "cuestiones de seguridad" [1]. Aparentemente como consecuencia del incidente sufrido por la empresa del buscador a principio de año, Operación Aurora, la compañía comenzaría a utilizar en sus computadoras (salvo expresa autorización del CIO) sólo sistemas operativos Linux y MAC OS (según trascendió, a elección del empleado).

Esta noticia fue causante de miles de debates y opiniones sobre este tema, especialmente de la comunidad de especialistas en seguridad, técnicos, frikis y otras yerbas. Vale aclarar que Google no emitió un comunicado oficial confirmando estos trascendidos sobre la mencionada decisión, y quienes lo filtraron no se fueron identificados públicamente con su nombre.

En prácticamente todos los casos, la supuesta decisión de Google fue reducida a dos opciones: es correcta porque Microsoft Windows es inseguro y es mejor utilizar otros sistemas operativos o; es equivocada Windows es seguro. No mucho más, no mucho menos. Para adentrarnos en la discusión, dejo algunas noticias que justamente dispararon la idea de escribir estas líneas.

Por ejemplo, desde el Blog Usemos Linux aprovecharon la noticia para escribir "Por qué Linux es más seguro que Windows", listando los diez motivos para afirmar tal condición. Entre ellos, se destacan las características de multi usuario avanzado, las configuraciones por defecto más seguras y las posibilidades de configurar la seguridad a gusto, las actualizaciones. Aquí no se presentan fundamentos reales y se desmerece a Microsoft simplemente por tener una historia de sistemas "operativos anteriores inseguros" pero sin analizar las funcionalidades y seguridad del actual (7 ideas sobre Windows 7). También se afirma que GNU/Linux es software libre, verdad indiscutible pero, que al parecer es sinónimo de seguridad.

En la misma semana leo el artículo The Myth of Computer Security, de Gizmondo, que analiza cuáles son los factores que afectan la seguridad de un sistema y aprovecha para arrojar algunas ideas poco comprobadas como que ante amenazas más complejas, es mayor la probabilidad que se cuelgue el antivirus, una idea que aunque parece graciosa es presentada como un dato certero y estudio (?), a pesar de carecer de sentido. En el mismo artículo, se presenta a Linux y a Mac como "sistemas inmunes".

Estos son algunos de los artículos que han aparecido en la semana en que la discusión sobre la seguridad en los sistemas operativos ocupó la primera plana.

Sin embargo, vale mencionar también que otros artículos intentaron arrojar luz al asunto, entre los que destacan: - Google abandona Windows... "¿por seguridad?", de Hispasec - Google no entiende "su problema de seguridad" y adopta la estrategia del avestruz de Javier Cao Avellaneda.

Estas son las últimas referencias que brindaré para volver a la discusión que nos aboca: ¿tiene sentido discutir cuál es el sistema operativo más seguro?.


¿Y la seguridad?

Como mencionaba anteriormente, ante todas estas noticias vale preguntarse si tiene sentido esta discusión. En primer lugar, reducir los incidentes ocurridos en Operación Aurora a un problema de Windows es básicamente haber comprendido poco y nada lo que ocurrió en el ataque que fue totalmente focalizado e incluyó estrategias de Ingeniería Social, Seguridad en Profundidad no implementada, entre otras. El mismo ataque podría tranquilamente haber ocurrido en otras plataformas, así como también existen varias medidas posibles para evitarlo que no implican cambiar el sistema operativo (con el costo operativo y económico que ello involucra).

Al fin y al cabo, todos los sistemas operativos tendrás sus vulnerabilidades, sus puntos débiles y sus fortalezas (afirme quien afirme lo contrario). No estamos hablando de un enfrentamiento entre "sistemas totalmente seguros" y "sistemas totalmente inseguros". Entonces, suponiendo que alguien pueda afirmar que un sistema operativo es "más seguro" que otro, ¿realmente ese sería motivo suficiente para tomar la decisión de cuál de ellos utilizar? Cualquier persona que se dedique a la seguridad, sabe que en cualquiera de los sistemas operativos existentes hoy en día se pueden implementar las medidas técnicas y no técnicas suficientes para tener niveles de seguridad aceptables y que son las aplicadas en millones de organizaciones pequeñas, medianas y grandes en todo el mundo.

Sin contar que esta diferencia en la seguridad de uno u otro sistema operativo no tendrá un impacto real en la elección de los usuarios: ¿cuántos de ellos elijen qué sistema operativo utilizar por su seguridad? Algunos pensarán que es un error no considerar esta variable pero partiendo de la premisa antes mencionada (tanto en Windows, en Linux y en Mac se pueden dar niveles de seguridad óptimos), tampoco es tan descabellado: el usuario considera la usabilidad en todo lo que utiliza y si ya usa un sistema desde hace tiempo, es probable que por costumbre, facilidad, resistencia al cambio y para evitar el tiempo aprendizaje, siga utilizando el mismo.

Tampoco tiene sentido negar lo que implica para Google sacar una noticia que afecte a Microsoft, ¿acaso necesitaba Google de un incidente así para que el equipo de IT tome una decisión respecto a qué sistema operativo utilizar? Esto hablaría muy mal del equipo de una de las empresas tecnológicas más importantes, y dudo que así sea, estoy seguro que contará con profesionales de excelente nivel en conocimientos y aptitudes.

Por último, también vale destacar los riesgos existentes ante tanto ruido. El primero de ellos es el mareo que puede causar a usuarios no experimentados tanto cruce de información, presentando puntos de vistas tan opuestos y tan poco equilibrados. De seguro que al usuario medio opiniones como las citadas le darán más preguntas que respuestas. Por otro lado, las posibilidades de que se genere una falsa sensación de seguridad es alta, cuando se relaciona una tecnología directamente a la idea de seguridad, algo que quizás ya ocurrió, por ejemplo, con Mozilla Firefox y la idea de que "es más seguro que Internet Explorer". La discusión no pasa por cuál es más seguro. Lo que importa aquí es que el usuario puede elegir cualquiera de los dos, y aún así tener la necesidad de navegar con cuidado y responsabilidad, conocer las configuraciones de seguridad, seguir buenas prácticas y otros controles más. No se trata de elegir un software, se trata de implementar y pensar con seguridad.


Conclusión

Aunque quizás muchos lectores piensen lo contrario, la respuesta a la pregunta que he venido planteado es afirmativa. Obviamente que tiene sentido discutir sobre la seguridad de los sistemas operativos. Como comunidad de la seguridad y la tecnología, eso es lo que nos permitirá tener cada día sistemas operativos más seguros, optimizarlos y compartir opiniones. Lo que carece de sentido, en este contexto, es reducir la seguridad de la información a la utilización de uno u otro sistema operativo. Ese es el pecado, creer que el cambio de plataforma tendrá un impacto tan importante en una organización (en términos de seguridad).

Parece raro decirlo a esta altura del partido, pero la seguridad no es un sistema operativo; la seguridad es un proceso complejo, que involucra una serie de factores no sólo tecnológicos, sino también humanos y de gestión. Este tipo de reducciones y simplificaciones de lo que implica mantener la seguridad en una empresa, no benefician más que a alimentar "pequeñas discusiones", y resulta más grave aún cuando provienen de aquellos que se dedican a la seguridad o las tecnologías, responsables de transmitir conocimientos a través de diversos medios de comunicación, sacando las peores conclusiones posibles a partir de una noticia.

En resumen: usen el sistema operativo que deseen, de seguro hay algunos más seguros que otros; pero no se trata de comparaciones estáticas, y es mejor concentrar la seguridad en otros aspectos mucho más importantes donde media el ser humano y su propio cerebro: políticas de seguridad, configuración de las tecnologías, implementaciones correctas de tecnologías, defensa en profundidad, gestión de riesgos, y otros; son diversas medidas de seguridad que deben ser aplicadas en cualquier red de computadoras si se desea proteger la información, sea cual sea el sistema operativo que se esté utilizando.


¡Gracias Sebastian!



[1] Google dejaría de utilizar Windows por "cuestiones de seguridad"
http://blog.segu-info.com.ar/2010/06/los-empleados-de-google-abandonan.html
http://blog.segu-info.com.ar/2010/06/excusa-de-seguridad-de-google-para.html



3. Sorteo de Libro "Ethical Hacking - Un enfoque metodológico"

El 20 de Junio de 2010 se inicia el sorteo de un "Libro Ethical Hacking - Un enfoque metodológico para profesionales", cuyos autores son Ezequiel Sallis, Claudio Caracciolo y Marcelo Rodriguez de la empresa Root-Secure.

Este libro le permitirá comprender los aspectos metodológicos asociados a un Ethical Hacking y los diferentes tipos de análisis de seguridad existentes, bajo una óptica orientada a ayudarlos a presentar los resultados en forma clara y entendible para las gerencias de Negocio.

El libro va más allá de las herramientas utilizadas, para enfocarse sobre los objetivos asociados a cada etapa de un análisis de seguridad, permitiéndose de esta forma ser un material de consulta que perdurará en el tiempo.

Consultar bases y condiciones en nuestra página de sorteos.

Segu-Info agradece a Ezequiel Sallis, Claudio Caracciolo y Marcelo Rodriguez de Root-Secure por este sorteo.



4. Compendio de conocimiento de Seguridad de la Información

Este compendio ha sido desarrollado por Arnaldo Baumanis Cortes, Analista de Sistemas y Seguridad de la Información de Venezuela.

Arnaldo se ha desempeñado durante más de 12 años como consultor TIC, en las áreas de desarrollo y análisis de sistemas, soporte administrativo en redes, diseño de Websites y analista de seguridad en sistemas de información para diferentes organizaciones tanto privadas como públicas.

Esta es una recopilación exhaustiva de información de diversas fuentes y que Arnaldo se ha encargado de agrupar, ordenar y alimentar con su propia experiencia.

Este material, cubre todos los tópicos de la certificación CompTIA Security+, y gran parte de los tópicos de CompTIA Network+.

Algunos temas y preguntas oficiales de certificaciones como CEH, CISSP, NSA, CISA, han sido incluidos también en la sección de preguntas de cada capítulo.

Sin duda es un material de apoyo importante para quienes comienzan a estudiar o desempeñar trabajos en el amplio mundo de la Seguridad de la Información.


El documento completo puede descargarse desde el siguiente enlace.
También puede consultarse el Índice del documento o su Versión anterior del año 2009.


¡Gracias Arnaldo!



5. Segu-Info busca autores


Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;

Esta propuesta es para tí.

Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.

Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.



6. Apoya a Segu-Kids, Juntos en la Red


Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.




Extras

Virus-Antivirus

Hosting by