Recomendaciones para no bajarse de la "nube"

El concepto de la "nube" nos indica: servicios en internet, almacenamiento, disponibilidad y redundancia. Para las empresas, estas características son fundamentales en la implementación de sus proyectos IT, porque necesitan que sus servicios estén disponibles en todo momento, al alcance de gran cantidad de usuarios.

Si sabemos que "la nube es un término de moda en materia tecnológica" también somos concientes que muchas plataformas se están migrando a esta arquitectura de servicios en internet que, a grosso modo, nos plantea un modelo de usuarios accediendo a un "gran servidor" - entendiéndolo como un conjunto de servidores y dispositivos que pueden estar ubicados, en funcionamiento y administrados en distintas partes geográficas, pero que muestran los servicios como un todo, centralizado:

Se debe reconocer que este esquema de servicios en la nube no es concepto nuevo. Desde hace años grandes compañías ofrecen servicios de gran demanda en internet o almacenan su información crítica en sistemas o plataformas que permiten guardarla de forma redundante y confiable, utilizando este modelo de "nube" (por ejemplo, desde hace años usamos el correo de Gmail o Hotmail y no sabemos en dónde está). Lo que se destaca en este concepto es que se ha consolidado y estructurado, y se ha extendido a más y nuevas necesidades de los usuarios: almacenamiento de archivos, música, disponibilidad, centralización de la información, disminución de recursos de usuario final, etc.

Como recomendaciones básicas para usted, si piensa en hacer uso de estos servicios, son las siguientes:

1. Defina su necesidad: defina qué servicio necesita y bajo qué condiciones y detalles.
2. Busque asesoría experta y confiable.
3. Analice costos y proyéctese: escalabilidad, disponibilidad, accesibilidad, crecimiento de usuarios...
4. Tenga siempre presente la seguridad de sus aplicaciones o servicios que desea tener en la nube.
5. Busque y compare varias alternativas.
6. Defina acuerdos de niveles de servicio.
7. No olvide que la tecnología es inversión, no un gasto!

Recuerde que NO siempre lo "más grande" o lo "visible" es lo mejor en TIC. A veces la utilidad o el servicio es difícil de percibir, cuando no estamos viendo los servidores o súper computadores en acción. Investigue, entérese y sáquele provecho a las opciones que hoy nos brinda la nube!! Eso sí, tenga siempre a la mano la opinión de los expertos.

Seguridad en las PYMES

Las estadísticas de delitos informáticos en  las Pequeñas y Medianas empresas de Colombia son casi nulas y esto tiene su causa en que la mayoría de ellas no tiene ningún control sobre la información que maneja a través de medios electrónicos, por lo cual no solo están expuestas a fraudes, a pérdida de la credibilidad o otras tantas amenazas directas contra sus organizaciones, sino que también se exponen a pagar por delitos como Pornografía Infantil y demás, ya que sus equipos están siendo usados para esto sin que ellos se den cuenta.

En esta semana fue publicado en el blog de Alfredo Vela la infografía que vemos a la Izquierda, donde inicia con una frase que según mi experiencia en este campo, ningún gerente de una PYME en Colombia y creo que en Latinoamérica, puede refutar o decir que no es así. La frase es:

USTED NO ESTÁ TAN SEGURO COMO USTED PIENSA 

Sin necesidad de ser completamente bilingües, esta infografía nos muestra que a diferencia de lo que la gente piensa el 40% de los ataques cibernéticos se ejecutan contra Pequeñas y Medianas empresas, lo cual es completamente lógico pues la seguridad implementada por Bancolombia no va a ser igual a la de MensajerosFast. 

Revisando las estadísticas de esta Infografia vemos que el 85% de estas empresas no tiene medidas seguras contra los ataques ciberneticos, pero en Colombia esta cifra puede ser superior al 90%, esto debido a que la mayoría de los gerentes no ven la implementación de medidas como una inversión sino como un gasto.

En países como el nuestro, donde la seguridad física no es la mejor, donde sufrimos de robos, asesinatos, secuestros, entre otros, les ayudamos a los criminales también a que puedan usar medios electrónicos para sus actos delictivos. Como los ayudamos?? Respóndase honestamente estas preguntas:

1. ¿Tiene su empresa una política clara del uso de los medios electrónicos?
2. ¿Usted sabe como identificar si la conexión on-line con la que realiza el pago de la nomina si la esta haciendo a su banco?
3. ¿Tiene una política de creación, administración y cambio de contraseñas para los diferentes medios electrónicos que usa?
4. ¿Sus empleados conocen por escrito y aceptaron una política que les indique cuáles sitios web no son permitidos de acceder en su organización y son conscientes de las consecuencias de incumplir esta norma?
5. ¿Conoce qué servicios tiene publicados en Internet su organización?

Me imagino que la mayoría de sus respuestas fueron "No sé", tranquilo no se preocupe eso tristemente es normal y por eso es fácil que la información de nuestras PYMES este en riesgo. Además si le preguntan que ¿cuánto cree que le cueste a una organización responder afirmativamente estos interrogantes? muchos contestarán que millones de pesos o cientos de dolares.

Están muy equivocados, todas estas preguntas pueden ser solucionadas y tener las respuestas claras con una inversión mínima o nula, ya que lo único que tiene que hacer es educar a su personal. Sí, así de simple. Existen varias frases que los que vivimos de la seguridad usamos, pero la que más uso es "La fortaleza de una cadena es directamente proporcional a la resistencia de su eslabón más débil", esto en seguridad de la información siempre significa que la gente es el eslabón más débil.

No estoy diciendo con esto que la educación del personal es gratis, pero generar campañas internas de buen manejo de la tecnología, crear políticas de seguridad de la información acordes con sus requerimientos e implementar medidas básicas de seguridad en sus redes, no es algo que sea costo o que implique retrasos en producción.

Adicionalmente, vale la pena tener un equipo o un outsourcing de informática que realmente esté capacitado para su labor, que su inversión mensual en este equipo se vea reflejada en la confiabilidad, integridad y disponibilidad de sus servicios informáticos. Que su equipo le entregue un informe gerencial de su labor con una periodicidad que definan y con unas pruebas externas que avalen dichas medidas, son las mejores y más económicas inversiones en seguridad de la información que se pueden establecer.

Quiero empezar mi negocio. ¿Me sirven las TIC y qué puedo utilizar?

Primero que todo, es necesario adoptar una concepción comprobada: las TIC son una gran herramienta para cualquier tipo de negocio, siempre que se utilicen de forma correcta y se identifique qué se debe usar para una labor específica (cuál es la herramienta o método idóneo).

A partir de esa idea, nos introducimos a lo particular, ¿qué puedo utilizar? Como todos los casos a los que se aplica ingeniería, la respuesta sería depende: depende del tipo de negocio, depende de la inversión, depende de lo que se quiera lograr, etc. Reditic realizó un análisis sobre algunos puntos comunes que se pueden identificar en los negocios que inician su actividad y quieren usar la tecnología adecuada:

1. Estilo tecnológico para su negocio: necesario. Se debe identificar y definir si quiero usar en mi negocio los últimos y más bonitos juguetes tecnológicos, o me importa más el rendimiento de mis equipos. Muchas veces lo más bonito o lo más costoso no es lo que necesito. Otras veces es necesario estar a la vanguardia en tecnología.

2. Seguridad de la información: fundamental. Lo más importante de nuestro negocio es la información. Se debe reconocer este aspecto como el más relevante e identificar la información crítica, para establecer los métodos de respaldo y protección más adecuados.

3. Presencia en Internet: básico. ¿mi negocio tiene página web? ¿son importantes las redes sociales para la publicidad de mis servicios o productos? ¿cómo le saco provecho a Internet? Reconocer lo útil que puede ser la presencia en Internet para un negocio y utilizar los métodos más óptimos para atraer clientes. Se debe tener buena asesoría y dar continuidad a los proyectos de presencia en Internet.

4. Movilidad: práctica. Estar conectado con los clientes y con el negocio en todo momento, es un aspecto vital para muchos empresarios que inician su actividad comercial. Es fundamental identificar qué aplicaciones debe tener su celular, cuál plan necesita para responder a las exigencias de su negocio; se debe escoger el smartphone que se ajuste a sus necesidades e identificar la utilidad de tablets para su empresa.

5. Nuevos servicios gratuitos en la nube: oportunidad. Estar pendiente de los nuevos avances tecnológicos es una característica clave que le ayudará a implementar las mejores herramientas TIC para su negocio. Aprovechar los servicios en la nube, tan sonados en la actualidad, es una gran ventaja que le ayudará a ahorrar costos y utilizar servicios adecuados a las necesidades de su empresa.

Lo invitamos a profundizar en este aspecto e involucrar el uso de la tecnología en su negocio. Asegúrese de contar con una buena asesoría y recuerde buscar siempre el mejor desempeño y lo más práctico para administrar su negocio.

El Fraude en las Empresas sin Control

Debido al desconocimiento y a la falta de políticas de seguridad que sean consecuentes con los riesgos asociados al negocio, los gerentes no promueven la cultura de la seguridad en sus organizaciones.

Frases como: "¿otra vez tengo que cambiar la clave?, NOO..." "ahora con ese sistema es más difícil trabajar, me demoro mucho para hacer cualquier cosa"... "es que acá no tenemos acceso a ninguna página"... y miles de frases similares, de rechazo, causan malestar entre los trabajadores pero son medidas necesarias y básicas para ejercer control sobre la información que manejan los empleados.

En Colombia, la firma KPMG realizo una encuesta sobre el fraude en las empresas del país y dentro de muchas estadísticas sorprendentes y trágicas al mismo tiempo, se encuentra que sólo el 23% de las empresas cuentan con un programa de prevención de fraudes.

Uno de los datos entregados por la encuesta indica que el 68% de los fraudes es cometido internamente. Esta es una de las estadísticas donde la aplicación de las TIC sería de gran ayuda para su disminución y su control.

Los principales tipos de fraude son la malversación de activos y los fraudes contables o financieros. Generalmente se presentan debido a la falta de un control interno serio, programado, estructurado y apoyado sobre tecnologías de información, que permitan el seguimiento y la auditoría de cada uno de los aspectos asociados.

En el universo de la tecnología existen aplicaciones y programas que aplican las teorías de control interno como COSO, MAGERIT, o la que actualmente es usada por las principales organizaciones mundiales y que cubre muchos más aspectos que solo el control interno, la cual es llamada Gobierno Corporativo.

Este mecanismo de control está apoyado y diseñado sobre las TIC, y a diferencia de lo que muchos empresarios y gerentes piensan, existe software libre que esta muy bien calificado para dar apoyo en este proceso y permite un nivel de auditoría muy alto.

Otro mecanismo claro que puede ser aplicado a muy bajos costos es el control en el acceso que cada uno de los usuarios tiene en la organización, generando perfiles definidos claramente según las necesidades de cada uno, estableciendo políticas y una definida difusión de las mismas. Para esto no se requiere casi nada de presupuesto, pero si se requiere que la alta gerencia este dispuesta a ser la primera en cumplir todas las restricciones que se implementen.

Por qué usar HTTPS y no HTTP

HTTP es el protocolo usado tradicionalmente por los navegadores para la conexión de cualquier sitio web, sin embargo este protocolo no cifra el contenido de la información que esta transmitiendo, lo que permite a un atacante leer de forma clara cualquier dato que se esté transmitiendo.

Debido a esta debilidad se realiza una evolución de este protocolo, aplicando mecanismos de cifrado que evitan que los datos transmitidos puedan ser leídos por un atacante al interceptar una comunicación.

Uno de los ejemplos donde los administradores de TIC deben emplear este mecanismo de aseguramiento es en el correo electrónico, se preguntarán por qué??. Bueno todas las comunicaciones dirigidas a su servidor de correo pasan inicialmente por varios elementos que no están bajo su control, imagínese que alguien usa uno de esos elementos para interceptar todo el tráfico que va a su servidor.

Con esto no solo obtendría todo el contenido de los correos sino los datos de usuarios y contraseñas que pueda capturar en este sistema. Aun le parece que no es importante usar HTTPS para las conexiones de su correo electrónico???

Ahora se preguntará ¿cómo reconocer que navega en una página cifrada y que usa como protocolo de transmisión el https? Es sencillo, todos los navegadores lo hacen de una forma gráfica diferente pero lo que se debe buscar es un candado que nos indique que los datos transmitidos en esa página van cifrados. En Internet Explorer (navegador por defecto de Windows) se puede ver de forma clara un candado en la parte derecha de la barra de navegación, como se ve a continuación:

Cuando nos conectamos y vemos esto inmediatamente podemos saber que estamos en una pagina cifrada que nos garantiza por medio de sus certificados que es válida y que podemos confiar en ella.

Pero en ocasiones el sistema nos muestra un mensaje notificando que la página https a la que ingresamos no se puede certificar que es quien dice ser, y en la mayoría de casos pasamos esta advertencia por alto y le indicamos que se conecte así no esté certificada, este mensaje es el siguiente:

Siempre se debería hacer caso e indicar que se cierre esta página, sin embargo si conoce y confía en el sitio puede ingresar, pues este mensaje indica que no se pudo certificar la confiabilidad del certificado de la página.

Para entender mejor el concepto de la información cifrada les vamos a mostrar cual es la diferencia de lo que vería un atacante cuando intercepta el tráfico de una página, cuando se realiza la conexión simplemente con http y qué ve cuando la conexión la hace con https.

Al realizar la conexión con http e indicar el usuario y contraseña de conexión al sistema, un atacante interceptaría el tráfico y vería lo siguiente:

En la imagen, la información de usuario y contraseña se ve de forma clara y se pueden obtener todos los datos de conexión. Sin embargo, cuando usamos la conexión usando https el tráfico capturado por un atacante sería el siguiente

Como se puede ver, nada en esta imagen es claro, no se puede obtener ningún dato que nos indique que página se conectó, qué usuario usó o cualquier información que pueda afectar nuestra seguridad.

Debido a esto, todo administrador debe buscar que las páginas que implementen transferencia de credenciales de autenticación usen como protocolo de comunicación el https.

Netiquette - Compórtese bien en la red

Muchas sociedades y organizaciones siguen parámetros de comportamientos para interactuar en un ambiente ameno. En la red mundial, Internet, también han sido descritas una serie de reglas o pasos a seguir con el fin de hacer buen uso de las herramientas que encontramos en ella y expresarnos de forma adecuada, puesto que la gran comunidad de internet nos ofrece diversos métodos de comunicación (redes sociales, chat, foros, correo electrónico, blogs, etc).

En este post se tienen en cuenta las reglas expuestas en el libro “NETiquette” de Virginia Shea, pero se editaron y consideraron algunas importantes para utilizar la red mundial:

• Regla 1: Expresarse con respeto y prudencia. Sus mensajes en la red llegan a muchas personas, sin importar la raza, nivel social, credo, etc. 
• Regla 2: Tenga cuidado con el formato de escritura: los mensajes escritos en mayúscula sostenida se consideran como gritos. 
• Regla 3: En los mensajes vía e-mail, envíe lo necesario y trate de adjuntar archivos de máximo 10 MB.  
• Regla 4: Evite el spam: use la opción Copia Oculta (CCO) al enviar mensajes a muchas personas. 
• Regla 5: Cree presencia en Internet como le gustaría ser reconocido personalmente. 
• Regla 6: Sea cordial y comparta su conocimiento con la comunidad. 
• Regla 7: Utilice los foros y comunidades para aportar conocimiento, no para insultar ni degradar pensamientos. 
• Regla 8: Cuando opine, reciba de manera amable las críticas y comentarios. 
• Regla 9: Cuide su información personal y respete la privacidad de terceras personas. 
• Regla 10: Perdone los errores ajenos y corrija cordialmente. 

Gracias por compartirnos sus opiniones y recomendarnos buenos comportamientos en Internet, para complementar nuestro post.

Guarde sus documentos GRATIS en internet

Se habla mucho de herramientas en la nube (concepto que se ampliará en el próximo post) que en términos generales se trata de un esquema que permite a los usuarios de internet hacer uso de aplicaciones por medio de un navegador web, sin estar obligado a instalar programas en sus computadores.

En la actualidad se hace gran uso de la nube para almacenar y compartir información. Una de las aplicaciones que ha tomado gran auge en los usuarios ha sido Dropbox https://www.dropbox.com porque permite almacenar y sincronizar la información.

¿Cómo funciona?

Dropbox permite crear una cuenta para subir archivos a la "nube", compartirlos con otras personas o simplemente almacenarlos, para que estén disponibles y poder acceder a ellos a través de cualquier navegador web como Firefox, Internet Explorer, Chrome, Safari, entre otros.

También permite la opción de sincronizar los archivos en equipos locales. Esto se realiza instalando la aplicación Dropbox en el computador del usuario. Al instalarlo, se crea una carpeta dentro de la cual se sincronizan todos los archivos que el usuario tenga almacenados en su cuenta.

Adicionalmente, Dropbox posee aplicaciones para dispositivos móviles, que permiten la gestión y sincronización de los archivos a través del celular.

Dropbox es una gran herramienta que permite administrar con las TIC: es de fácil manejo, permite disponibilidad de la información, puede ser usada en computadores y celulares, permite compartir archivos y su uso es gratuito (permite 2 GB de espacio para cuentas gratuitas).