"La mayor sabiduría que existe es conocerse a uno mismo"
[Galileo Galilei - Físico y astrónomo Italiano - 1564-1642]

Boletín 35 - Capacitación y Concientización de Seguridad en Organizaciones - 12/03/2006



IMPORTANTE: Si este boletín o el sitio te es útil VOTANOS en:

http://www.diadeinternet.org/2006/index.php?body=premios_votar&ctr=203



1. Artículo propio del día: Capacitación y Concientización en Organizaciones
2. Piratería
3. Microsoft cae en su propio juego... las patentes
4. Buscadores: Ética del posicionamiento
5. Comienzos de la informática
6. JA de la semana



1. Artículo propio del día: Capacitación y Concientización en Organizaciones


Sin duda uno de los temas más preocupantes cuando hablamos de Seguridad es la Capacitación, o mejor dicho la falta de ella.
Esto se debe en gran medida a que el usuario en general no es consciente de la importancia de la información que maneja a diario, lo que puede hacer con ella, la utilidad que le puede dar un tercero y las consecuencias de ello.
Cuando hablamos de educación en Seguridad de la Información en realidad estamos hablando de dos conceptos: Capacitar y Concientizar.


El primero de los términos se refiere a dar a conocer y educar sobre una temática determinada.
En cambio concientizar va más allá y está referido a que el concepto sobre el que se está trabajando forme parte, realmente se arraigue y llegue a ser un sentimiento en la persona. Muchas veces también se utiliza el termino evangelizar para reflejar este concepto.


En Sistemas y, más específicamente en Seguridad, realizar estas dos acciones adquiere mayor relevancia ya que generalmente el público al que irá dirigida nuestra "prédica" tenderá a tildarnos de locos esquizofrénicos y paranoicos salidos de la Matrix (quizás con razón).


Lo primero que debemos plantearnos es: como nos caería que un apicultor (nada personal con ellos) venga a explicar técnicamente como se inflama una picadura de la abeja Lonchura Punctulata debido a que es un insecto himenóptero.
Por eso, en un primer contacto, la capacitación que se brinda debe ser en un lenguaje ameno, lejos de los tecnicismos y anglicismos clásicos de nuestra profesión.


Es importante tener indicadores y estadísticas para controlar el antes y después de la capacitación. Estos serán el reflejo del éxito o del fracaso de la capacitación y nos indicará que debemos incluir, mejorar o eliminar de la misma. Además en principio estos indicadores nos marcarán los temas de las primeras capacitaciones. Por ejemplo si existe un alto índice de infecciones víricas o un alto porcentaje de passwords prestadas, estos serán buenos candidatos de temas a tratar.


Es conveniente comenzar con temas críticos o de alto impacto dentro de la organización. Por ejemplo podría comenzarse con una charla sobre Ingenieria Social en donde un simple llamado telefónico o un mail engañoso sirve de ejemplo para introducir el concepto y demostrar el alto impacto que puede tener la obtención de información por este medio.


El contenido a tratar debe seleccionarse cuidadosamente y cada capacitación debe referirse a un tema específico sin introducir demasiados conceptos nuevos; aprovechando para refrescar temas comunes.


La teoría debe ser la justa y la necesaria para introducir el tema pero luego deben abundar los ejemplos prácticos, anécdotas de experiencias y demostraciones de causa-efecto que, cuanto más impactantes sean, mayor será el resultado obtenido.
El tiempo dedicado a capacitar no debe exceder la capacidad de concentración media de una persona ya que los temas muchas veces suelen ser pesados y hasta aburridos (aunque me duela admitirlo).


Cabe mencionar que en el primer tiempo, luego de la capacitación, las acciones consideradas "ataque interno" se verán incrementadas en nuestros indicadores. Esto es normal y es producto de que muchas personas quieren vivir en "carne propia" como es "ser hacker" por lo que probarán herramientas y acciones tendientes a burlar la seguridad de la propia empresa. Estas acciones generalmente son limitadas pero deberán vigilarse y controlarse.


Otra forma en que suele encararse la capacitación es dejando información en una Intranet, con envío de mails periódicos que traten algún tema específico o cartelera con consejos simples. Hay que tener en cuenta que este tipo de capacitación depende del usuario ya que, por ejemplo, si quiere puede eliminar el mail sin leerlo o nunca ingresar a la Intranet.


Lo más importante y a remarcar es que está capacitación debe ser permanente en el tiempo. Será con esto con lo que, en última instancia, logremos "convertir" una simple capacitación en concientización.



2. Piratería


Los que me siguen desde hace un tiempo saben que siempre he abogado por la libertad de expresión y por el libre conocimiento. Algunas personas opinan que distribuir la información, el conocimiento y la cultura solo puede definirse con una palabra. Sin dudas estas personas están desinformadas, porque no puedo atribuirles mala intención en su opinión y tampoco puedo afirmar que realmente piensan lo que dicen. Esta palabra que mencionan aparentemente está por tirar por tierra a grandes e inocentes empresas y multinacionales.
Esta palabra es la revolución del siglo XXI, la que está llamada a hundir a todas las "pobres" corporaciones cuyo único objetivo es facturar millones a cambio de un servicio que nadie más puede brindar.
No me explico como nadie les ha comentado (a estas corporaciones) que el mundo ha cambiado, el mundo se ha movido (como diría un gran escritor), en él habitan personas con sed de información y de libertad. Los modelos de negocio deben cambiar y están cambiando adaptándose a las necesidades actuales de los ciudadanos.

Sí, de los ciudadanos, no de las corporaciones. Debemos enterarnos: esa palabra es PIRATERÍA. Es la palabra de moda para la "caza de brujas" y los inquisidores están entre nosotros. Evitemos convertirnos en cazadores porque un día podemos ser nosotros los cazados.


Estemos informados... una sociedad informada, no puede ser engañada.


Manifiesto por la liberación de la Cultura
Somos Copyratas
FAQ sobre edición y CopyLeft
Piratería, por Alejandro V. García:
http://www.diariodesevilla.com/diariodesevilla/articulo.asp?idart=2550567&idcat=1169
El uso personal de las redes P2P es legal, dice un tribunal francés

Entrevista a Pedro Farré, Director de Gobierno Corporativo de la SGAE (Sociedad General de Autores y Editores de España)
La BBC pide disculpas por acusar de ladrones a quienes comparten ficheros
Analfabetos digitales
Presidencia de México adopta Creative Commons:
http://www.alt1040.com/archivo/2006/03/07/presidencia-de-mexico-adopta-creative-commons/
http://www.presidencia.gob.mx/tecnologia/



3. Microsoft cae en su propio juego... las patentes


EOLAS es una empresa nacida del seno de la Universidad de California que patentó una tecnología que permite a los usuarios acceder a programas interactivos incluidos en páginas web, a través de plug-ins o applets ejecutados desde su navegador. Microsoft fue condenada a pagar 521 millones de dólares al resolverse que violaba la patente con su Explorer. Ahora se encuentra modificándolo al igual que todos las demás empresas.


Este es el motivo de porque patentar cosas que no se deben patentar, es perjudicial y roza la estupidez.
http://www.error500.net/micrsoft-pierde-eolas
http://iteisa.com/wordpress/?p=37
http://www.alzado.org/articulo.php?id_art=222


Nos nos olvidemos de la patente por el doble click propiedad de Microsoft, y de la tecnología AJAX de Balthaser Online
Es "gracioso" leer que en las patentes dice "INVENTOR".
Lo dicho en el artículo "Piratería": si hoy eres cazador, mañana serás el cazado.



4. Buscadores: Ética del posicionamiento


Curiosamente, una de las preguntas que más frecuentemente recibo no tiene que ver con seguridad específicamente, sino que tiene que ver con la posición de www.segu-info.com.ar en los cinco principales buscadores actuales: altavista - yahoo - google - alltheweb - dmoz


La pregunta va referida a que conociendo un poco sobre el funcionamiento de técnicas de intrusión, ataques a servidores, ethica hacking y por haber ingresando a algunos foros del "lado oscuro", se supone que debo conocer como modificar en mi beneficio el resultado de los buscadores.
Siento desilusionar a muchos y lo anteriormente dicho no puede estar más alejado de la realidad. El posicionamiento se logra con trabajo duro, respetando los standares (los que figuran al pie de segu-info), optimizando cada página en tamaño y contenido, enlaces de calidad a sitios con contenido similar.


Funcionamiento general de un buscador


A grandes rasgos, los buscadores tiene lo que se conoce como spiders o robots que pasan por cada sitio cada cierto tiempo indexando cada página (sobre la que tiene permiso).
Este índice es el que se consulta cuando el usuario realiza una búsqueda. Es decir que como primera condición el sitio debe ser indexado por el buscador. Para ello existen dos formas: agregar el sitio manualmente o ser linkeado por otro sitio que ya haya sido indexado previamente.
Una vez indexado cada buscador aplicará complicados algoritmos matemáticos que darán como resultado la posición final. En el caso particular de google este resultado es el Page Rank, número entre 1 y 10.
No está al alcance de demasiadas personas conocer los algoritmos utilizados pero si es posible inferir ciertos indicadores de los mismos.


Consejos para "subir"


No me atrevería a llamarlos consejos si ellos no hubieran colocado a segu-info en el lugar que está actualmente. 0. Trabajo duro: nada se regala, todo se consigue con largas horas de trabajo.

  1. Respetar los standares. Esto puede tornarse un verdadero dolor de cabeza ya que ciertos navegadores no los respetan y muchas veces terminamos haciendo lo que la mayoría dice. Esto es un enfoque incorrecto que tarde o temprano debe corregirse.
  2. No utilizar técnicas ilegales y prohibidas de posicionamiento. Hay cientas de ellas y lo único que lograremos será estar primero... por una semana.
    Algunas técnicas no recomendables son: textos y enlaces ocultos, repetir texto y enlaces miles de veces, páginas optimizadas para cada buscador, ventas de enlaces, bombing, etc.
    Por ejemplo por google bombing se logró esto
    Los buscadores conocen y controlan estas técnicas y el castigo suele ser la eliminación del sitio en el buscador.
    Aquí tenemos un ejemplo
  3. Buscar SEOs (Search Engine Optimizer) de confianza. Existen empresas sin escrúpulos que le cobrarán para lograr lo explicado en el punto anterior.
  4. Dar de alta el sitio en buscadores de calidad como DMOZ. DMOZ en un directorio abierto donde los sitios son verificados manualmente por personas. Los demás buscadores confían en DMOZ porque elimina los "sitios basura"..
  5. Los metatags son considerados muy importantes. Ellos dicen muchas cosas sobre el sitio: lenguaje , descripción, palabras claves, autor,etc.
  6. El título y la descripción de cada página es importante. Los títulos debe ser cortos y explicativos del contenido.
    Los buscadores dan mayor importancia a las palabras marcadas como título, subtítulo, negrita y cursiva.
  7. Lo complicado para Ud. es complicado para el robot que lee su sitio. Por ende cree sitios con diseños sencillos y livianos.
  8. Conseguir enlaces de otros sitios web. La cantidad de enlaces es un buen indicador del interés por nuestro sitio y su contenido.
  9. Realizar un análisis del trafico web para conocer quien entra, quien permanece, quien se va, tiempos de permanencia, etc.
  10. Por último pero no menos importante, denuncie a quienes no cumplen estas reglas y utilizan técnicas ilegales de posicionamiento. Todos los buscadores permiten denunciar estas prácticas para eliminar la competencia desleal.

Más Información:

http://google.dirson.com/posicionamiento.net/conseguir-enlaces/
http://google.dirson.com/posicionamiento.net/seo/
http://google.dirson.com/posicionamiento.net/penalizaciones/
http://google.dirson.com/noticias.new/1355/
http://google.dirson.com/noticias.new/2022/
http://google.dirson.com/aparecer.php
http://google.dirson.com/problemas.php
http://google.dirson.com/posicionamiento.net/
http://www.microsoft.com/spain/empresas/internet/mejore_posicionamiento.mspx
http://www.microsoft.com/spain/empresas/internet/etica_posicionamiento.mspx
http://www.microsoft.com/spain/empresas/internet/tendencias_buscadores_2005.mspx



5. Comienzos de la informática


Y todo comenzó con una simple pregunta: " ¿es una máquina capaz de pensar?"
http://www.microsiervos.com/archivo/ordenadores/test-de-turing.html



6. JA de la semana


Fotos exclusivas de la granja de servidores de google:
http://linkey.wordpress.com/files/2006/03/Gmail_HD.jpg


Actualidad

Virus-Antivirus