Crónica de un Pintado, eventos previos.

Sábado por la noche, y me llega un sms -planes para hoy- como siempre “plan tranquilo”, la idea una salida a escuchar música y pasar un rato agradable, pero como olvidar los planes de mañana! Mañana hay paintball, así que antes de salir a alistar las cosas.

Hay que revisar que todo esté en orden, todo el “gear” debe estar lista para mañana y no debe faltar nada (es mejor llevar de más, de todas maneras siempre es mejor que sobre y no que falte). A ver hagamos el checklist:

  • Pantalón (súper acolchado y con colores llamativos para que ayuden al “camuflaje”), listo!
  • Jersey, listo!
  • Protectores, listos!
  • Zapatos, listos!
  • Marcadora, lista!
  • Tanque de aire comprimido, listo!
  • Tanque de CO2, listo! (lo llevo? Pero si mi marcadora no funciona con CO2!, no importa me llevo el remote coil por cualquier cosa)
  • Hopper, listo!
  • Herramientas, listas!
  • Pods, listos!
  • Arness, listo! (tengo que conseguir otro, lo vengo diciendo desde hace seis meses).

Creo que eso es todo, ahora si ya me puedo ir tranquilo, re-chequeo rápido,  uhmm siento que me falta algo… ah la máscara! Por Dios casi la olvido, por suerte me di cuenta a tiempo,  listo hora de la diversión, pero hay que llegar temprano porque mañana tengo que estar a las 8 en Lindora.  11 p.m ya casi me voy todavía es temprano, 12 uhm será que me voy, 1:30 a.m porque me quede fijo no me levanto mañana, siempre me pasa lo mismo!

Domingo 5 a.m, gracias reloj biológico nunca me abandonas! Hora de levantarse, ducha y desayuno liviano, las cosas están listas solo falta alistar la hielera con la bebida de los dioses, Dr. Pepper mi bebida favorita.  Hoy será un gran día no importa cuántas veces se ha jugado siempre se siente esa emoción extra y hoy no es diferente. Suena algo que es? Ahh es mi teléfono donde estará, lo encontré  “Dígame, si ya voy de camino ya casi llego, eh por la pista” (rayos otra vez se me hizo tarde me voy).

Todas las cosas están en el carro listo, rumbo fijo y no hay desvíos, llevo todo, que raro esa extraña sensación que me falta algo otra vez, voy a revisar antes de irme, todo está, pero y las baterías, no otra vez las olvide! Voy a tener que pasar a comprar…

Continuará…

¿Para Quién Trabajas?

 

Como la mayoría de veces que escribo sobre un tema sobre el cual escuche. El día de hoy alguien me hizo esta pregunta: Para quien trabajas?  

Probablemente la mayoría de personas responderían que trabajan para X o Y empresa, incluso si se trabaja propio probablemente se diga el nombre de la empresa a la que somos dueños, sin embargo si nos ponemos a analizar el para quien trabajamos, es decir el fin de cada persona la respuesta va a ser la misma (o al menos debería ser la misma), deberíamos trabajar para nosotros mismos.

De una u otra forma siempre vendemos nuestros servicios profesionales a un tercero, ya sea un cliente de forma directa o un cliente a través de un tercero, que en este caso seria “la empresa para la que trabajamos”.

Toda empresa necesita una inversión para poder sobrevivir, la premisa básica es al inicio se invierte para tras algún tiempo ver el fruto por las utilidades que pueda generar la empresa a la que se invirtió. De igual forma si trabajamos para un tercero vendiendo nuestros servicios profesiones, pues al inicio debemos de invertir en nuestra educación, para poder obtener “claves” que nos ayuden a desarrollar nuestras labores diarias, incluso hay otra analogía que toda inversión es un riesgo al igual existe en la educación en la que escogimos invertir.

Y no solo se debe de pensar en la parte remunerada, si bien es cierto todos trabajamos para recibir una remuneración económica, nuestras empresas (es decir nuestro “YO”) se especializa en algo, por lo que deberíamos de orientar nuestros servicios profesionales brindados en nuestra especialidad. Por lo que es necesario e imperativo que analicemos si en realidad nuestra empresa está haciendo para lo que fue creada y si nuestra empresa tiene claramente definidos aspectos como: Misión, visión, Valores, objetivos estratégicos, y más importante si existe un plan estratégico que nos ayude a formar nuestro futuro.

Durante todo el artículo he tratado de usar palabras cables (que espero sean fáciles de descifrar), pero quiero recalcar en una de ellas, y quiero finalizar con un pensamiento, si trabajo para mí, lo mínimo que debo hacer es hacer mi trabajo de forma profesional. Podría filosofar durante mucho tiempo sobre es ser profesional, sin embargo voy a ser breve (voy a obviar aspectos éticos), el ser profesional en algo es ser conocedor y prácticamente experto en ese algo (evidentemente no es sencillo y requiere de mucha trabajo y tiempo).

Por lo que es vital siempre recordar que debemos de realizar nuestras labores diarias de la mejor manera pues estamos ofreciendo un “servicio profesional” y la mejor manera de mercadear un servicio o producto es que este producto o servicio cumpla con las expectativas de los usuarios finales.

No es mi Problema!

Hace poco tuve una amarga experiencia, en donde un profesor exigió a un alumno en un plazo de 1 día conseguir un material didáctico y el estudiante amablemente le indica que le va a ser muy difícil en un plazo tan corto, y la respuesta del profesor fue “No es mi problema!”.

Desde ese momento esa frase ha estado en mi mente y no solo esta frase sino que también algunas variaciones como “a mí no me toca”, “yo no fui”, “porque yo”, “que lo hago otro”  y un sinfín de pensamientos para evadir responsabilidades.

Y justamente conversando con un amigo discutíamos del tema, y coincidíamos que el “no es mi problema” es parte de la idiosincrasia del tico. Desde tiempos coloniales el tico ha sido reconocido por ser “pacifico”  o pasivo diría yo. El acta de los nublados del día es –creo sin lugar a duda- el ejemplo más palpable de este hecho en donde no se clarifica la decisión tomada sino que más bien “se espera a ver que va a pasar”.

La crítica social es tema de conversación de todos los días, todos nos quejamos de la inseguridad ciudadana,  de los altos costos de los bienes de primera necesidad, altos impuestos, alta inflación, falta de empleo, etc. Pero la mayoría no cruza la línea de accionar, la de analizar el que se puede hacer para solucionar las cosas y no solo el criticar.

Precisamente ayer escuche un gran discurso de otro amigo quien hablaba de la calidad, de una manera muy simple dio una definición de lo que para el era calidad, hago mías las palabras de Mandred y cito: “Calidad consiste en dar el 101%, es decir dar algo más del 100%, dar el extra” (el FUA dirían algunos), comentaba Manfred que dar el 100% es mediocre pues simplemente se está cumpliendo con lo requerido, y personalmente coincido totalmente con sus palabras. La diferencia de lo normal con lo extraordinario es una delgada línea y cruzarla no es difícil, es sencillamente no solo cumplir las expectativas sino sobrepasarlas, y como hacerlo? simple tratar siempre de cuando hago las cosas dar el extra;  aunque lo que esté haciendo no es de mi agrado debería de procurar que sea una acción de calidad.

Este último párrafo lo relaciono con el “No es mi problema” pues la falta de calidad es para mí uno de los motivos por los cuales muchas personas tienen esta mentalidad.

Ojala y todos pensemos y actuemos con calidad y dejemos de pensar en que el día a día “no es mi problema”.

APLICACIONES WEB, VULNERABILIDADES Y SOLUCIONES PRÁCTICAS PARA EL ENTORNO COSTARRICENSE

Actualmente se vive en una era tecnológica en donde el adquirir, vender bienes o servicios está al alcance de un click. Es normal que se realicen compras, pagos o transferencias de dinero utilizando herramientas tecnológicas que facilitan este tipo de acciones. Y es, sin lugar a duda, Internet el instrumento más popular, pues permite tener acceso a un gran número de opciones que el mercado pone a disposición, tal es el caso de tiendas en línea, servicios de E-Banking, entre otros.

Se debe tener en cuenta que desde el momento en que las transacciones electrónicas involucran dinero o información crítica, se debe disponer de medidas de seguridad para que en cierta forma se garantice la seguridad en el trasiego y custodia de esta información.

Cabe destacar que a partir del análisis realizado, se desprende que la seguridad es un concepto relativo y que no se puede aseverar que, por ejemplo, un sitio Web es totalmente seguro, no existe ni existirá un sistema de información infalible a ataques malintencionados. Este punto se agrava en sistemas Web, pues tienen como característica que están conectados al mundo entero por medio de la Internet, por lo que están expuestos totalmente para que personas que desarrollan ataques puedan realizar “ investigaciones” para detectar cualquier vulnerabilidad que no se haya tomando en cuenta por parte de los creadores del sitio Web, además, se debe recordar que aunque se realice una investigación sobre las actuales técnicas de ataque y tomando el estudio en cuenta a la hora de desarrollar e implementar los sitios Web, siempre está latente la posibilidad que se descubran nuevas técnicas para el aprovechamiento de vulnerabilidades de nuestros sitios Web.

Sin embargo, teniendo en cuenta esta premisa, se puede establecer sitios Web, que si bien no van a estar exentos de riesgo por ataques que pudieran poner en peligro la información que se está procesando o almacenando, es de suma importancia el implementar acciones acordes a los mejores prácticas que existen en el medio costarricense y estar en constante investigación y actualización de conocimientos para detectar y modificar los sitios Web para brindar un grado de seguridad aceptable.

La invulnerabilidad es un concepto no aplicable a seguridad, ya que esta siempre se verá amenazada y en ciertos casos vulnerada, aunque se podría definir o establecer el término de seguridad aceptable como un concepto en el nivel de sitios Web, como una práctica constante e interminable que implanta, evalúa y renueva medidas y procedimientos para impedir el abuso de algún portillo, error o deficiencia “vulnerabilidad” en un momento dado, ya sea en una plataforma operativa o de desarrollo.

Otro punto importante es que no sólo se debe tener seguridad en el sitio en donde se realizan las transacciones, el eslabón más débil en el proceso de transacciones electrónicas, es el usuario final, pues es quien almacena las claves de acceso y/u otros medios necesarios para identificarse en los sitios Web en forma inadecuada y descuidada.

Es de suma importancia establecer una cultura de seguridad, en donde se eduque a los usuarios de servicios Web, pues la mayoría de los fraudes informáticos en el país, es debido a la falta de conocimiento en cuanto a las medidas de seguridad necesarias para el manejo de información crítica, esta cultura debe estar basado en el hecho que el dinero que se está transando vía medios electrónicos no es virtual.

Si partimos desde el punto lógico general sobre el hecho de que un delito es aquel acto que se realiza en detrimento de terceras personas, se debe decir que las regulaciones establecidas en el país lamentablemente no son lo excelente que deberían ser, no obstante, en vez de establecer regulaciones de carácter general, se ha optado por realizar enmiendas a leyes especiales que a la postre, han conducido a situaciones de notoria inconsistencia normativa.

Estas inconsistencias no han tenido el impacto que se esperaría, gracias a escaso desarrollo nacional en materia de cibercriminalidad y comparativamente reciente, como probablemente sea la tónica en la mayoría del área latinoamericana

Por el hecho de que el software se considera como una “obra literaria o artística” sobre el cual aplica la legislación sobre propiedad intelectual, es difícil determinar el impacto que el TLC vaya a tener sobre esta legislación y por ende sobre el software, partiendo de las enmiendas planteadas para esta ley, se podrían decirse que el peso de la ley será más riguroso, acarreando sanciones que se suponen más rigurosas, que hasta las ahora establecidas por el código penal costarricense.

RECOMENDACIONES

Debido a que el tema de seguridad requiere de continua actualización, pues día con día existen nuevas amenazas que ponen en riesgo la seguridad de sitios en Internet se recomienda que el personal encargado de soporte, responsable de desarrollar y actualizar los sitios Web, reciban una constante retroalimentación sobre las nuevas técnicas de fraude, sobre vulnerabilidades y ataques registrados, así como el método u procedimiento que establecen los entes internacionales para combatir estas vulnerabilidades.

Existen instituciones y organizaciones a nivel mundial (por ejemplo OWASP) cuya labor primordial es informar y documentar los ataques y vulnerabilidades que se generan a nivel Web en cualquier parte del orbe, sería recomendable estar incorporado como miembro activo adscrito a estas organizaciones de manera que todo los boletines y avisos sobre estos ataques nos sean informados de forma inmediata de manera que el personal pueda tomar las previsiones correctivas o preventivas del caso.

Se ha determinado que el usuario podría ser el eslabón más débil de esta cadena pues es el encargado de la custodia de los medios de acceso a sitios de Internet (Passwords, certificados, tokens o cualquier otro medio de identificación), por lo que se recomienda, que aquellas entidades que posean sitios que manipulan información validosa, realicen procesos de capacitación en donde expongan las medidas más importantes en la custodia y almacenamiento de información personal, en donde se le informe al cliente cuáles son los mecanismos oficiales que utiliza el banco para solicitar información, como detectar que los sitios que se estén visitando sean los “Sitios Oficiales” de estos entes, y en general las medidas mínimas de seguridad que permitan en cierta medida minimizar el riesgo de una intrusión de una persona no autorizada a sitios Web. El ambiente deseable sería que existiese una cultura de seguridad en donde todos los individuos posean conocimientos necesarios para poder garantizar la seguridad en sus transacciones electrónicas, y esto se logra mediante la capacitación citada, en donde gradualmente se logra dar a conocer los aspectos más importantes en el manejo de información crítica.

En el uso de aplicaciones Web en el nivel corporativo es recomendable que existan procedimientos respaldados por personal clave de seguridad, en donde se citen las acciones necesarias para garantizar controles de acceso seguros a Internet que permiten establecer lineamientos idóneos a sitios considerados de alto riesgo, estos procedimiento deben ser establecidos por cada institución, y deber ser establecidos por personal interno pues cada entidad tiene sus propias reglas del negocio. Además es importante el tener en claro procedimientos y mecanismos  internos de cada institución  que garanticen un ambiente libre de virus informáticos pues en gran medida son los causantes de robos de información que se está procesando, eso se logra estandarizando un antivirus para toda la organización y que este cuente con actualizaciones automáticas que permiten brindar seguridad ante los virus o intrusos más recientes.

Otra política a establecer deberá ser sobre las plataformas operativas que se vayan a utilizar, estableciendo repositorios para la distribución de las actualizaciones de seguridad necesarias para asegurar que la plataforma sea segura, e implantar mecanismos que permitan la aplicación de estos actualizaciones de forma inherente para el usuario.

Dentro de organizaciones en donde la información que es vista o procesada mediante aplicaciones Web es necesario establecer responsabilidades sobre los usuarios que hagan un mal uso de los mecanismos de autenticación y seguridad establecidos internamente, el fin primordial es hacer que el usuario acate las políticas de seguridad establecidas y entienda el grado de responsabilidad que conlleva el acceso a esta información.

Es de vital importancia que los principales entes del país que cuentan con Sitios de Internet en donde se realicen transacciones electrónicas (Bancos y tiendas en línea) formen convenios de cooperación común, en donde se produzca retroalimentación entre cada uno de los miembros, con respecto a las tendencias de seguridad Web mundiales actuales, y que el flujo de información sea transparente para cada uno de los miembros, siendo el fin común y primordial la cooperación mutua entre diferentes entidades.

PROPUESTA

El desafío

El desafío de identificar las “principales” vulnerabilidades de aplicaciones Web es una tarea virtualmente imposible. No hay ni siquiera un acuerdo generalizado de qué exactamente está incluido dentro del término “seguridad de aplicaciones Web.”

Algunos han argumentado que sólo se debería enfocar en los puntos de seguridad que afectan a los desarrolladores que escriben código de aplicaciones Web a la medida. Otros abogan por una definición más amplia, que abarque la capa de aplicación entera, incluyendo bibliotecas, configuración de servidores y protocolos de la capa de aplicación.

Sería poco práctico detallar vulnerabilidades específicas en las aplicaciones Web de organizaciones particulares, puesto que éstas probablemente serían arregladas con prontitud después del conocimiento general de su existencia. De este modo, se ha elegidos un enfoque a las principales clases, tipos y categorías de vulnerabilidades de aplicaciones Web y los pasos o técnicas recomendadas para evitar o al menos mitigar su impacto en la vida cotidiana.

Como se ha establecido de forma amplia para el tema “ataques a la Web”, se han vislumbrado tres posibles ámbitos de dichos ataques:

  • A la computadora del usuario.
  • Al servidor.
  • A la información en tránsito.

Dentro de estas tres están contenidas todas las vulnerabilidades que se han desarrollado con anterioridad, ahora se recalcan las mejores técnicas utilizadas para luchar contra ellas y evitar o mitigar su impacto.