The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Archive for February, 2011

¿Qué buscamos en una certificación de seguridad?

Está claro que los objetivos de la felicidad humana, comportan un equilibrio entre estar contentos en el terreno personal y por supuesto, en el profesional. Al fin y al cabo es donde pasamos una gran parte del tiempo y es imprescindible sentirnos lo más cómodos y realizados posibles. Por ello, es importante que la elección que hagamos sea lo más adecuada posible y que, dedicándonos a la seguridad, donde hay diferentes ramas, acertemos el tiro a lo que nos resulte más atractivo y con salidas laborales.

Hace tiempo, quisimos dar en SbD una guía para ayudar a la trayectoria profesional de aquellos lectores que quieran mejorar su titulación y conocimientos. Para ello resumimos las certificaciones oficiales más reconocidas, indicando si la misma es técnica o no, si está dedicada a auditoría, consultoría, gestión, etc,… requisitos como experiencia previa, etc,…. para saber por dónde tirar.

Sin embargo, ¿qué es lo que buscamos en este tipo de posgrados o especializaciones? Tal cual están los tiempos en los que las empresas están sobredimensionando un montón los requisitos de los candidatos y que piden un consultor “Ferrari” para cubrir un puesto que lo pueden hacer con uno de tipo “Dacia Logan” (sin ánimo de ofender a los propietarios de un Dacia Logan), está claro que cuanto mayor sea el palmarés de titulaciones que tengamos, mejor. Sin embargo, creo que en el momento de buscar formación complementaria a la actual, además del reconocimiento y la ventaja a la hora de encontrar cuanto antes un puesto de trabajo en el que seamos felices, nos debería mover el saber que lo que vamos a aprender en dicha certificación nos valga para algo en la vida real y práctica.

Desde mi punto de vista y mi experiencia (sólo cuento con dos certificaciones de las reconocidas: CISSP yCISA), el haber pasado por un montón de tiempo de estudio en ambas y sabiendo que CISSP es “mucho más” técnica que CISA y que esta última, además está más enfocada al mundo de la auditoría, no termino de obtener un beneficio claro de la inversión de tantas horas y sesiones de estudio. En realidad, mientras devoraba los manuales y libros oficiales de las mismas, enlazaba aspectos o situaciones de la vida real que me habían ocurrido y me ocurren en mi entorno laboral, más que aprender cosas en las que yo pienso que puedo sacar provecho en un futuro.

Efectivamente, ambas certificaciones están muy reconocidas en el mundo de la seguridad informática y supongo que son de las más priorizadas a la hora de obtener alguna, pero creo que el hambre a saciar por mi parte, era más de contenido técnico que otra cosa. Por eso creo que la siguiente a obtener después de las delISC2ISACA, debería ser algo más dedicado a lo que realmente me gusta como CEHCHFI o quizá alguna de las de GIAC/SANS.

De esta manera, además de cubrir los requisitos de búsqueda que muchos headhunters utilizan en base a buscar profesionales cualificados en Linkedin filtrando por CISSP y CISA, habré disfrutado de una lectura y práctica con más contenido técnico que sienta que me aporta realmente algo más que simplemente quedar formal y serio en el CV.

Como no todos somos iguales, quizá vosotros tengáis una forma diferente de pensar. Unos defenderán la necesidad de saciar el hambre de conocimiento por encima de todo en primer lugar, y otros se guiarán más por la necesidad de encontrar un trabajo mejor, y lo verán como un “must” a tener en cuenta para sumar puntos a la hora de ser el finalista elegido dada la compleja situación laboral actual (al menos en España).

Dado que estas certificaciones suponen una importante inversión en términos de tiempo y dinero, está claro que aunque las queramos tener todas, hay que priorizar y cortar por algún sitio.
Es evidente, que dependiendo del perfil demandado por las empresas que abren un proceso de selección, buscarán por consultores cualificados con unas u otras certificaciones,… pero ¿qué preferimos nosotros?

 


Ethical Hacking, una visión personal

Ante todo, me presento mi nombre es Cesar Chavez Martinez, este mail que empleo es el que empleamos para realizar el año 2007 el PRIMER ENCUENTRO NACIONAL DE CRIMINOLOGIA Y CIENCIAS FORENSES, un evento gratuito de 6 días, dirigido a todas las ramas de las ciencias forenses.

Poco a poco paso el tiempo, y comenzamos a tocar puertas con el afán de realizar un proyecto de ciclo de conferencias de seguridad informática en Perú, lo curioso es que por las redes los extranjeros y foráneos decían yo apoyo, pero la gente de Lima, no se pronunciaba, existía un vacío grande con respecto al tema, por eso comenzamos con esos temas, mas adelante entendí que aquellos que decían no, o no respondían, tenían deseos de hacer cosas por sus lados, para beneficios personales obviamente. Al año siguiente tocamos las puertas de varias universidades, recibíamos la respuesta clásica, no nos llamen nosotros les llamaremos, en una sola universidad nos aprobaron la idea, es mas nos llevaron a los laboratorios, mostrándonos los ambientes, se trataba de una universidad particular limeña, después no, nos contestaron las llamadas y oh sorpresa salio un evento con un nombre similar, justamente en esa universidad.

No esperen que este sea un articulo magistral sobre lo que es Ethical Hacking, mas que todo es mi opinión personal sobre lo que significa para mi el (EH), desde que inicie en el campo de seguridad informática, siempre tuve bien claro que el saber y aprender se lo debo a todos lo que comparten su conocimiento, lastimosamente encontrar en donde aprender siempre ha sido una cuestión, por eso el 2007, el mes de Junio, desarrollamos el primer Forum Mente Criminal, un evento que contó con presencia de expositores de delitos informáticos y ciberterrorismo, desde esa época inicie a ingresar a muchísimas listas de interés, en las cuales solo estaba leyendo, lo que allí escribían y debatían, solo pocas veces escribía algunos OFF TOPICS (OT), sobre capacitaciones en mi país natal.

Los comentarios que recibía sobre ello, eran diversos, pero bueno ese tema ya da de por si para otro pseudoarticulo que deberia ser titulado “Mi decepción al encontrar gente que comparta sus conocimientos”.

El Ethical Hacking para mi forma de ver, es compartir lo que uno sabe, ayudando con lo poco que conoce sobre el tema, es por ello tras leer el tema de herramientas antiforenses, decidí sacar otro temita con una breve compilación de herramientas informáticas forenses, me anime a escribir aquí en la SI, porque leo los comentarios de gente que desea aprender, me contacte con algunos usuarios solicitándoles si me daban una mano para viabilizar un aula virtual gratuita para hacer un curso de Ethical Hacking, pero por allí no encontré respuesta, mas adelante monitoreando los mensajes, me doy cuenta que mas que amor a la difusión académica, algunos usuarios tienen amor a los bombos y los platillos (eso se le dice en mi país, a quienes hacen algo para recibir aplausos y no por querer aportar, sino para autoadularse, vanagloriandose con lo que saben).

Considero que recibir aplausos es bueno, a quien no les gusta eso, mas que todo porque eso refuerza nuestra autoestima, y ya de por si el tener un ego grande, es una característica visible de los que estamos metidos en este campo, nuestro ego es la mas grande de nuestras debilidades y algunas veces puede convertirse en una virtud, muy pocas veces claro esta.

Desde el punto de vista del narcisismo claro esta, espero no incomodarles demasiado pero intento dar un marco donde iniciar.

El Ethical Hacking es analizar las vulnerabilidades de los sistemas informáticos, para compartir las falencias que se encuentran en pro de mejorar la seguridad en la transmisión de información.

En mi forma de ver las cosas significa: compartir lo que conoces sin discriminaciones ni limitaciones de ningún tipo.

Es pararse en un auditorio y decir lo que uno sabe y también cuando uno no sabe, hay que ser honesto y decir que no se conoce el tema, porque por nuestro ego, es bastante difícil decir NO SE, a veces hay que quedarnos callados unos segundos y tener en cuenta la autoconciencia, nadie esta por encima de nadie, todos iniciamos en esto sin saber y poco a poco, encaminándonos en la búsqueda de información logramos aprender mas, en los 80, encontrar información sobre informática forense era como encontrar el santo grial, pero ahora ya no es así. Ahora si se encuentra información, solo hay que saberla buscar, obviamente que encontramos demasiado en ingles. Pero ya en este mundo globalizado quien no conozca un poco de ingles, es el nuevo analfabeto casi un pecado capital de la globalización.

El Ethical es ayudar a los demás, es decirles hey estas cometiendo un error, no es adular a quienes saben mas que uno, aunque a veces la adulación es la única forma en la que los que se creen ser “los que mas saben” comparten sus conocimientos. Obviamente que esa es una relación patológica entre manipuladores adulares y egocéntricos, a veces estos egocéntricos se llenan de remoras que están a sus lado para aprender, pero solo se alimentan como sanguijuelas y en el momento que menos esperen se liberan de la simbiosis.

El Ethical para mi es ayudar gratuitamente, exponer sin animo de lucro, el no abusar de los que no tienen como matricularse a una certificación ECH, es decirles chicos vamos… aquí estoy para darte una manito, aunque sea tomense unos minutos para recordarse como comenzaron en búsqueda de información y como era difícil aprender. No hagan lo mismo que les hicieron a ustedes, cuando buscaron información y les dijeron EL CONOCIMIENTO CUESTA, yo gaste tanto y tanto por mis estudios.

No pues, si tratan así a la gente así, el mundo les dará la vuelta, porque lo que uno hace, vuelve hacia nosotros, todo es así en la vida, a veces estamos abajo, a veces arriba.

El Ethical es compartir, esa es la magia del GNU, compartir, mejorar, crecer.

Para terminar les comparto una frase que un chico me hizo recordar: “Las obras de conocimiento deben ser libres, no hay excusas para que no sea así” Richard Stallman.

CESAR J. CHAVEZ MARTINEZ
Analista forense
Presidente del Consejo Directivo del Instituto de Investigación Forense
computo-forense.blogspot.com

 


¿Dónde está Cydia para Mac?

cydia logo large ¿Dónde está Cydia para Mac?

Yo no podría vivir sin Cydia en mi iPhone, así que cuando Saurik anunció Cydia para Mac obviamente la alegría fue grande, y cuando dijo que a finales de Enero estaría disponible también fue otro punto muy positivo.

El problema es que estamos cerca de finales de Febrero y no sabemos absolutamente nada de Cydia para Mac. No hay capturas, no hay tweets, no hay declaraciones y no hay una fecha de salida.

Sinceramente creo que Cydia no puede dar en Mac el juego que da en iOS, pero yo creo que la adopción puede ser significativa.

 


Actualización de Transmit, el mejor cliente FTP para Mac

 Actualización de Transmit, el mejor cliente FTP para Mac

Trabajo a diario con servidores FTP, he probado casi todos los clientes y puedo dar fe: Transmit es de larguísimo el mejor de todos los que hay si nos ceñimos a tres aspectos: rapidez, estética y usabilidad.

La versión 4.1.5 trae estas actualizaciones:

  • Bugs arreglados en Transmit Disk.
  • Se mejora la compatibilidad con las acciones de Automator.
  • Se arregla un bug al conectar a servidores SFTP.
  • Los permisos de los servidores S3 no se modifican cuando se edita un fichero.

Recomendable sin duda actualizar para todos los que tengáis la app.

Artículos relacionados

 


Shuttle presenta sus nuevos XPC Barebones

Shuttle presenta dos nuevos mini-PCs Barebonescompatibles para los procesadores Sandy Bridge. Se trata del XPC Barebone SH67H3 y SH67H7 que estará mostrando durante el CeBIT 2011 (Alemania, 1-5 Marzo).

Ambos se basan en el chipset Intel H67 Express y cuentan con características técnicas para apoyar todos los procesadores Intel Core de segunda generación (i3, i5 e i7 con socket  LGA1155). Ambos modelos cuentan con el soporte para un par de unidades de 3,5 pulgadas, una unidad de 5,35″ y cuatro ranuras DIMM para un máximo de 16 GB de memoria RAM DDR3. También cuenta con 4 puertos USB 2.0 y 4 puertos USB 3.0, así como dos puertos combo eSATA/USB.

También cuenta con una interfaz Gigabit-LAN, dos salidas de monitor digital (HDMI y DVI-I) en la parte trasera y señales de audio a través de S/PDIF o HDMI, mientras el rendimiento de gráficos adicional es proporcionado por el puerto PCI-Express 2.0 16x.

Una fuente de alimentación 80-PLUS certificada de 300W garantiza un alto rendimiento de la PC compacta. El sistema global se enfría por medio de un tubo de calor con un ventilador de velocidad regulada.

El diseño H3 es más tradicional y todos los conectores están disponibles directamente. El H7 en cambio tiene un aspecto más elegante y todos los conectores están ocultos.

Ambos equipos estarán disponibles a finales de marzo, a tiempo para entregar los chipsets Intel corregidos. El precio de venta recomendado (sin contemplar IVA) para el SH67H3 es aproximadamente de USD$323, mientras que el SH67H7 estará en unos USD$340.

Link:  Shuttle: Mini-PCs for 2nd generation Intel Core processors (Bit-Tech)

 


¿Está Apple a salvo del malware?

¿Está Apple a salvo del malware?

Sobre Apple y la seguridad hay dos ideas opuestas: que OS X es inherentemente seguro y está a salvo de problemas de malware a gran escala por un lado, y que lo que le mantiene a salvo es su baja cuota de mercado por el otro, y que si su presencia se generaliza aparecerán los mismo problemas que ha sufrido Windows hasta ahora.

En un interesante artículo en TidBITS, Rich Mogull asegura que aunque ambos argumentos tienen su parte de veracidad, también debemos tener en cuenta que las condiciones que rodean el mundo del malware han evolucionado. Ni Apple es invulnerable ni es una casa con la puerta abierta en la que todavía no se ha fijado ningún ladrón.

Aunque Windows sigue con mala fama en cuanto a seguridad, la verdad es que las últimas versiones son sistemas operativos modernos con buenas medidas de seguridad integradas desde su misma base, al contrario que Windows XP en el que la protección frente a las amenazas se tuvo que añadir casi sobre la marcha. Hoy en día probablemente la mayor fuente de problema sean componentes externos pero ubicuos como Adobe Reader y Flash, y el software sin actualizar. Windows 7 es una plataforma razonablemente segura pero el problema es que XP sigue siendo la versión más extendida entre los usuarios.

Mientras tanto OS X es un blanco mucho más pequeño para los maleantes, pero aunque en los últimos años su popularidad ha explotado -recordemos que Apple asegura que la mitad de las ventas que realizan en sus tiendas son a usuarios que nunca habían tenido un Mac- los problemas no lo han hecho. OS X, al igual que Windows 7, es un sistema operativo moderno y comparten muchas tecnologías de seguridad, sin olvidar la robustez que proporciona el estar basado en UNIX. Una excepción es la incompleta implementación de la tecnología ASLR en el sistema operativo de Apple, pero también es verdad que sus esfuerzos para mejorar su seguridad son continuos, impulsados por la creciente aceptación de los Mac en las empresas.

Además Mogull cree que para la propagación del malware es necesaria una cultura y una comunidad que va creando herramientas cada vez más sofisticadas basadas en amenazas anteriores ya explotadas con éxito como la que existe alrededor de Windows, mientras que en OS X habría que partir prácticamente de cero y hay pocos incentivos para hacer el esfuerzo mientras existan otros blancos más fáciles como Windows XP o los ataques basados en Flash.

En conclusión, aunque la seguridad perfecta no existe, lo más probable en opinión de Rich Mogull es queno volvamos a ver pandemias de virus como las sufridas con Windows XP gracias a los avances en seguridad de los sistemas operativos modernos que disfrutamos hoy en día. Por supuesto mantendremos los ojos abiertos y desde AppleWeblog os contaremos cualquier novedad que se pudiera producir.

Foto: Todd Klassy

¿Está Apple a salvo del malware? escrita en AppleWeblog el 16 February, 2011 por david-attrache
Enviar a TwitterCompartir en Facebook

 


Se avecinan nuevos MacBook Pro más ligeros, con más batería, y varias posibilidades de configuración

Siguiendo con la posibilidad de que a primeros de marzo tengamos nuevos MacBook Pro, en las últimas horas han visto la luz nuevos rumores al respecto de las configuraciones posibles. Básicamente se sigue el camino habitual en estos casos: mayor potencia, mayor autonomía, etc, pero hay algunos puntos que suenan un tanto extraños por las numerosas combinaciones que ofrecen en cuanto a configuraciones.

De entrada, en los 3 modelos de 13, 15 y 17″, se apunta a que toda la gama sería más ligera y resistente debido a un nuevo tipo de compuesto de aluminio, que reduciría el peso de los equipos hasta un 20% respecto a los modelos actuales. Este es el mismo porcentaje que se ganaría en una mayor autonomía de batería pero, curiosamente, la máxima de a mayor portátil más batería (por eso de que a mayor superficie-batería más grande) no se cumpliría en todos los casos. Y aquí es donde entran en juego las posibilidades un tanto extrañas.

Se dice que en el modelo más pequeño se podrá optar por una pantalla mate. Pero ojo, sólo en el modelo de 13″, al que además se apunta la posibilidad de añadir más resolución (¿?). El modelo de 13″ llevará el tradicional lector de discos, pero en el de 15 se podrá escoger, opcionalmente, quitar el lector-grabador de discos para poder añadir capacidad de almacenamiento e incluso un segundo disco duro, además deincorporar un tercer conector USB. En el de 17″ se apunta a una nueva posibilidad de expansión externa, y la posibilidad de montar una tarjeta gráfica más potente.

Los precios oscilarían entre los 1099$, 1549$ y 2099$ respectivamente, lo que implicaría una relativa bajada de precios respecto a los modelos actuales.

Sobra decir que los posibles nuevos MacBook pro se asemejan más a los MacBook Air, y lo cierto es que las cosas han llegado hasta el punto de que ya no son los pocos los que vaticinan un probable abandono de los discos duros por parte de la compañía, lo que tal y como está el patio podría ser plausible.