"El propósito de la educación es cambiar una mente vacía por una abierta"

[ Malcolm Forbes - Editor estadounidense - 1919-1990 ]

Boletín 64 - Estudiando CISA - 30/09/2006

Leído por ahí (en NewsForge a través Kriptopolis)

"La buena noticia es que si se utiliza software libre/abierto se es inmune en gran medida, no sólo a vulnerabilidades de vida tan dilatada como éstas, sino a la perversa indiferencia de las firmas propietarias que anteponen sus campañas publicitarias a la seguridad de sus clientes. La transparencia del software Open Source hace que este juego de negativas sea imposible y los largos retrasos inexcusables".


1. Articulo del Día: Estudiando CISA
2. Resultado Sorteo de Entrada InfoSecurity
3. Temas por los cuales deberíamos preocuparnos
4. La historia del P2P
5. Noticias de esta semana
6. Desafío de la semana



1. Artículo del Día: Estudiando CISA


El presente artículo se trata sobre la experiencia en el proceso de certificación internacional CISA. Para más información sobre certificaciones recomendamos la lectura del artículo 39.


Desde hace algún tiempo (al menos dos años) la visión del puesto de auditor esta cambiando a fin de poder ver su rol no como un "detective" sino mas bien como el de un "asesor/consultor". Alguien que esta empapado con los procesos de negocio y es idóneo y apto para poder intervenir en dichos procesos aportando sus conocimientos y lograr así un ambiente de control mas fuerte de acuerdo a la aceptación de los niveles mas altos de la organización sobre los riesgos que pueden afectar su negocio. Recordemos que el riesgo se mide como la combinación del impacto al explotar una vulnerabilidad mas la frecuencia con la que se puede repetir dicho impacto. Desde esta nueva perspectiva se intenta promover una participación mas protagónica y menos conflictiva del auditor en cuanto a su aporte sobre un ambiente de control en los negocios.


El año pasado (2005) la certificación requería un dominio sobre 7 capítulos y este año sólo 6. La orientación para obtener dicha certificación esta fuertemente apuntada sobre el capítulo 5 ("protección de los activos de información") al cual le otorgan un 31% de valor sobre el 100% del examen. Cabe destacar que este porcentaje el año anterior era del 25%.


En cuanto al gobierno de IT el mismo viene sufriendo cambios que van modernizando la mentalidad a medida que va tomando cada vez mas protagonismo la tecnología y los sistemas de información.

Hoy en día la tecnología forma parte crítica de los procesos de negocio, al ser el sustento para que los mismos salgan adelante. Esta visión no era compartida hace un tiempo atrás por muchas grandes firmas en diferentes partes del globo.


La forma de poder sustentar los procesos de negocio con las ultimas tecnologías, basándose en una administración de los riesgos, presenta continuamente diferentes conceptos, metodologías y visiones que, con el día a día, se adopta en paralelo con el avance de la tecnología.


Este avance, produce cambios muy grandes y, en etapa de transición, cuando se está produciendo una adaptación a la nueva tecnología, surgen nuevos conceptos y metodologías que hacen rever todo el análisis de riesgo (en mayor o menor medida) nuevamente.


Pensemos solamente en la tecnología inalámbrica y la misión y visión de aplicar la misma sobre los procesos de negocio. Algunos nombres nos suenan desde hace algún tiempo y otros comienzan a llegar tales como Bluetooth, WI-FI, WI-MAX.


Detengámonos solo un momento en estos avances que en el mercado aun no se han conocido demasiado. Por ejemplo el Gobierno de la Ciudad de Buenos Aires (Argentina), tiene la intención de lograr en un futuro, no muy lejano, la posibilidad de brindar banda ancha gratis a todos los hogares. Si se decidiera utilizar esta tecnología habría que realizar un análisis de factores tales como:

Pensemos en celulares, Palms, Notebook que hoy día tienen un nivel "cero" de seguridad de fabrica (o de configuración) al estar sus recursos disponibles para explotar por medio de bluetooth, infrarrojo, etc. No tendría que extrañarnos que en un futuro no muy lejano esa tecnología comience a desplazarse a los elementos mas "cotidianos" como pendrives, DVDplayers, TVs, equipos de música, filmadoras, cámaras de fotos, etc. ¿Se imaginan un virus que entra en tu cámara de fotos por bluetooth y te borra/robe todo?.


Para lograr compartir información, administrar recursos y simplemente una manipulación mas cómoda, todos los métodos de hacking, cracking y demás, que forman una lista casi interminable actualmente, estarán a la vanguardia.


También, relacionado con el segundo punto (la cultura), la amenaza de métodos de Ingeniería Social como Phising, Vishing y otros que seguirán apareciendo. Ante todo recordemos que siempre el eslabón más débil de la cadena de un negocio es y seguirá siendo el ser humano.


También por sobre todo esto no podemos obviar las leyes y regulaciones que intervienen tanto para dar cabida como para detener un avance tecnológico. Aprobar estándares o no. Pensemos tan solo en implementaciones como Firma Digital y su validez, la cual es considerada en algunos países y cuestionada en otros. También pensemos un poco en las lamentablemente actividades antiterroristas que los últimos años han utilizado recursos gigantescos para espionaje, sabotajes, robo y venta de información confidencial y demás fines siniestros.


No me extrañaría que, así como desde hace algunos años ha comenzado a implementarse la ley Sabarnes Oxley en las firmas que cotizan en la bolsa de Nueva York, para certificar un ambiente de control que garantice la transparencia de las actividades financieras; en un futuro no muy lejano aparezcan regulaciones gubernamentales que exijan determinados controles, más firmes y duros que los actuales, sobre los recursos para con los delitos informáticos y de ahí la autorización para poder sustentar un negocio.


Ante este panorama creo que certificaciones como el CISA, CISM y otras comienzan con un amplio panorama del contexto actual de los negocios, la tecnología y su vida "en pareja" con el fin de, mediante una fuerte base de ética profesional y aprendizaje continuo, promover una adecuada gestión del gobierno de IT, minimizando riesgos y haciendo mas efectivo y eficiente el resultado de los negocios.

Esto es lo que puedo comentar sobre mi visión en mi trabajo como auditor de sistemas y la certificación CISA.


Nota de Segu-Info: Los artículos reflejan la opinión del autor y Segu-Info es ajeno y puede o no coincidir con las mismas.




2. Resultado Sorteo de Entrada InfoSecurity


Entre los participantes a nuestra Trivia, hemos realizado el sorteo de "una entrada VIP para InfoSecurity" (válida para los 5 días). El favorecido ha sido [email protected]


Ya nos hemos puesto en contacto con él para hacerse acreedor de la misma dentro de las 48 hs. En caso contrario la entrada será resorteada, debido a la proximidad del evento.


Segu-Info ni la organización del evento se hacen cargo del traslado al lugar del evento.


Segu-Info agradece a la organización de InfoSecurity por este sorteo.



3. Temas por los cuales deberíamos preocuparnos


Estos son dos temas sobre los cuales deberíamos comenzar a conocer, investigar y preocuparnos ya que marcaran nuestro rumbo de los próximos 5 años.


El Canon
El Canon es un cantidad de dinero, parecido a un impuesto, que se aplica a todos los equipos y soportes electrónicos y que se justifica legalmente como "una compensación a cambio del derecho a realizar copias privadas de los contenidos que adquirimos legalmente" tal y como se recoge en el Artículo 25 (Compensación equitativa por copia) introducido en la reciente reforma de la Ley de Propiedad Intelectual (LPI) de España.


Este tema es especialmente preocupante porque los latinoamericanos tendemos a copiar leyes europeas que parecen acertadas.


Más información:
http://www.comfia.info/noticias/29579.html


RFID

Según la Wikipedia: RFID (siglas de Radio Frequency IDentification, en español Identificación por radiofrecuencia) es un método de almacenamiento y recuperación de datos remoto que usa dispositivos denominados etiquetas o tags RFID. Una etiqueta RFID es un dispositivo pequeño, como una pegatina, que puede ser adherida o incorporada a un producto, animal o persona. Las etiquetas RFID contienen antenas para permitirles recibir y responder a peticiones por radiofrecuencia desde un emisor-receptor RFID. Las etiquetas pasivas no necesitan alimentación eléctrica interna, mientras que las activas sí lo requieren.


Pero, ¿por qué debería preocuparnos este juguete tecnológico?. Principalmente por 4 grandes razones.

El experto en seguridad Bruce Schneier dijo a raíz de estas propuestas: "Es una amenaza clara tanto para la seguridad personal como para la privacidad. Simplemente, es una mala idea."


Toda la información sobre RFID:

http://www.spychips.com/
http://tinyurl.com/jtag5



4. La historia del P2P


Para aquellos desmemoriados que no recuerdan... 7 años de historia


http://blog.negonation.com/es/un-poco-de-memoria-kazaa/
http://tinyurl.com/fwoqe
http://es.wikipedia.org/wiki/Historia_de_las_aplicaciones_P2P



5. Noticias de esta semana


Estas noticias ahora pueden ser consultadas directamente desde aquí


También pueden ser recibidas por correo una vez al día al suscribirse a nuestro blogger en la parte superior derecha donde se lee "Blog en tu Mail (mail diario)"


30 de septiembre

29 de septiembre

28 de septiembre

27 de septiembre

26 de septiembre

25 de septiembre

24 de septiembre


6. Desafío de la semana


Solución al desafío del boletín anterior (63):

a b c
   K   
d e f

a + b + c = N
a + K + f = N
b + K + e = N
c + K + d = N
d + e + f = N


Sumando miembro a miembro las tres igualdades centrales:
(a+b+c) + 3K + (d+e+f) = 3N
N+3K+N=3N
3K = N
K = N / 3


En este cuadrado mágico, N es la tercera parte de la suma de sus elementos:
10 + 11 + 12 + 13 + 14 + 15 + 16 + 17 + 18 = 126
N=42
Luego K=14.


O lo que es lo mismo:

11 18 13
16 14 12
15 10 17

Respondieron correctamente:
[email protected], [email protected], [email protected]


Desafío de esta semana:
Colocar las 5 piezas, sin que se solapen entre ellas, dentro de los márgenes del cuadrado. Usar el mouse para moverlas y Shift + Click para rotarlas. Ojo con las ayudas de Internet que suelen ser falsas.

http://videodownloader.net/especial/Puzzle2.swf
Cuando lo consigas saldrá un mensaje de felicitación el cual debes enviarme.


Actualidad

Virus-Antivirus