Para utilizar las funcionalidades completas de este sitio, es necesario tener JavaScript habilitado. Aquí están las instrucciones para habilitar JavaScript en tu navegador web .

Carlos Sanchez, egresado de la Universidad Rafael Belloso Chacin de Venezuela como Ingeniero Electrónico Mensión Telecomunicaciones ademas de entuciasta y activista de la tecnologia.

En la actualidad funge como Microsoft Product Manager Regional de GBM. Apoyando a todos los equipos internos de GBM a desarrollar una práctica de alta penetración comercial  en la region de Centro America y el Caribe.

En su trayectoria y experiencian destacan:

  • Mas de 15 años de experiencia en tecnologias Microsoft
  • Arquitecto de soluciones de Microsoft por 5 años
  • 10 años en proyectos de implementacion y migracion de tecnologias Microsoft en ambientes corporativos.
  • Agente de transformación digital 

Percepción y hechos en la seguridad

25 Junio, 2018 | En una conferencia de seguridad hace unos meses, un presentador nos encuestaba: ¿Se sienten seguros en su silla?, ¿sienten que su vehículo esta seguro? ¿Creen que este edificio es seguro? Y asi unas cuentas mas hasta que empezamos a cuestionarnos nerviosamente de nuestra seguridad, cosa de la que estábamos tan persuadidos hacía no más de 2 minutos. Y efectivamente, nuestro presentador terminó diciendo: “La seguridad es una percepción” y estoy totalmente de acuerdo. Les aseguró que hay militares que están tan tranquilos en su base que esta a 500 metros del enemigo como nosotros viendo una película en el cine. ¿Cuál es la diferencia? La percepción. El militar está seguro de sus compañeros le cuidan las espaldas y esta entrenado para reaccionar a una amenaza y nosotros en el cine, confiamos en que el ambiente es seguro y la seguridad del mall y la policía nos protege. Así, que llevando esto a nuestros negocios, debemos construir nuestra percepción de seguridad basada en riesgos y hechos, como veremos ahora. Los riesgos Los riesgos los debemos sopesar como algo que, si bien es una posibilidad, no queremos que afecte extraordinariamente en el caso de un incidente a nuestra organización, y para esto, primero permítame explicar los riesgos en el área de dominio que nos compete hoy que es en las Tecnologías de la Información. Estamos claros que, lo que impacta negativamente al negocio es aquello que nos hace perder ganancias o entrar en pérdidas económicas. Sin embargo, hoy día como todo está conectado al negocio, y con esto me refiero, a las redes sociales personales y corporativas, las actividades de responsabilidad social corporativa, las relaciones con otras organizaciones, las relaciones con el gobierno, la publicidad, entre muchas otras afectarán sustancialmente nuestro negocio según la industria y mercado.  Un riesgo, entonces, lo determina qué tanto impacto puede causar en  nuestro  negocio  un evento relacionado con Tecnologías de la Información. Les dejo una lista corta de eventos de alto impacto: Secuestro de la información:  un ente atacante encripta la información asegurándose de no dejar otra copia usable pidiendo un rescate por la llave para desencriptar. Chantaje informático: el ente de ataque obtiene información confidencial privada no solo del negocio, sino de los clientes de éste y reclama algo a cambio de no hacerla pública. Secuestro de infraestructura: ente  de ataque consigue las credenciales administrativas de la infraestructura y la aísla para su único dominio y luego pide un rescate para devolver las credenciales a la organización. Y la más compleja, pero más lucrativa es el infiltrado: la persona atacante logra entrar a la red del negocio y detecta el patrón de operación del mismo de forma que logra montar operaciones y transacciones indefinidas veces durante meses y años sin que la organización detecte su presencia. Para cerrar este punto por el momento, los riesgos informáticos son muchos verdaderamente, pero igualmente debemos, digámoslo asi, medir nuestros riesgos. Para esto, hay consultorías especializadas es verdad, pero con un poco de sentido común podemos decir que, dependiendo de la visibilidad pública de nuestra empresa y el volumen de dinero que maneja, entonces está más en la mira de un atacante, con la excepción de los ataques automatizados a los cuales todos como personas o empresas estamos expuestos, así que, definitivamente nos conviene ejecutar un análisis sencillo. Mi empresa tiene: Página Web pública Redes sociales corporativas (Instagram, Facebook, Twitter, Pinterest, etc) Sistemas de pagos electrónicos (Internet Banking, pagos en línea, tarjetas de fidelidad, etc) Plataformas de nube Pública autorizadas o no (Azure, AWS, Office 365, G Suit, DropBox, etc) Bases de Datos con información de los clientes y pagos (Oracle, SQL, MySQL, DB2, etc) En el caso de que respondiera negativamente a todos los puntos, estaría bastante libre de riesgos informáticos, pero tambien necesita estudiar la posibilidad de incrementar las ganancias del negocio usando estas tecnologías. En resumen, y sabiendo que no estoy incluyendo variables muy importantes como el factor humano, entre más puntos de los anteriores le aplican a nuestra organización estamos en mayor riesgo, y por ende deberíamos tener alguna protección. Hechos Los hechos que estamos a punto de tocar son aquellos que nos dan luz sobre nuestra seguridad informática. Como dijimos anteriormente la seguridad es una percepción, y ésta la debemos construir a partir de hechos, que en este caso sería hacer algo que nos confirme nuestra asunción de seguridad, así como cuando le activas la alarma al vehículo, oyes y ves las señales de que se activó pero, aún así, halas la manilla de la puerta para estar seguro de que cerró con el HECHO de que NO ABRE. En este sentido, los hechos que buscamos para demostrar que estamos seguros desde una perspectiva informática son: Nadie puede entrar a ninguna información de la organización sin usar un mecanismo de identificación acorde con los sistemas y dependiendo de la sensibilidad de la información: Usuario y Clave, PIN, Tarjeta de Seguridad, Carnet RFID, biométrico, etc. incluyendo un segundo  factor de autenticación como SMS, Token, o llamada de ser necesario. Existen niveles de acceso a todos los recursos, donde, cada uno accede solo a lo que debe, en el lugar correcto, desde la aplicación correcta y desde la ubicación correcta. Poder saber si alguien intenta violar alguna política de la organización respecto al acceso de la información, por ejemplo, un desarrollador de la página web de la empresa intentando acceder al servidor de base de datos de nómina. Los colaboradores están enterados y practican las normas de  seguridad  de la información: cambios de password, manejo de correos electrónicos sospechosos, redes sociales personales y corporativas, almacenamiento de la información en los sistemas correctos. Tener procesos y sistemas de contingencia ante un ataque Al igual que la sencilla lista de riesgos, ésta necesita que nos apliquemos todas las opciones porque hacemos realmente muy poco solo teniendo una o dos. Y lo que realmente importa, es comprobar que se cumplen, bien con una auditoría interna de la organización o con una externa, porque la consecuencia de hacerlo mal es que no valdrá la pena el esfuerzo de “tratar”, porque al final el atacante siempre se irá como el agua, por el camino más fácil, es decir, por aquello que no tengamos o que tengamos desactualizado. Para concluir, sin ser catastrófico, la verdad es que el tema de seguridad de la información es complejo y con muchos matices, pero, de las cosas que son indudables es que, hay una demanda inmensa de personal, no solo especializado sino con experiencia que se hace para muchas empresas restrictivo económicamente hablando. Así que, una salida exitosa, han sido los proveedores de servicios gestionados de seguridad, que se encargan de aplicar todas estas cosas que he expuesto en este artículo por una inversión en el modelo optimizado de prácticas y personal altamente capacitado para brindar un servicio eficaz, de muy alto valor y costo amigable con las finanzas. Nota: Se dará cuenta que, uso la palabra ente en casi todos los ejemplos, esto tiene una razón especial, es que, ya hoy día las máquinas son más agiles y energéticas que los hombres (las máquinas trabajan 24x7x365 al mismo ritmo y adicionalmente, así como la inteligencia artificial se usa para cosas buenas, también para malas), así que, un ente puede ser un robot informático o una persona.

El sentido de tener solo un socio de nube

19 Abril, 2018 | El ser humano no es multitasking como muchos creen, el cerebro es un procesador de información serial, debe enfocarse en una cosa a la vez para hacerlo bien. Cuando esto se extrapola a los negocios, y se dispersa en tareas que no son su foco de éxito pierde eficacia, cosa que hoy día hace la real diferencia competitiva. Ser inteligente en el mercado de hoy, se ha convertido en delegar y exigir resultados basados en la confianza de las contrapartes, medidas con las pruebas de sus certificaciones, reportes de rendimiento y percepción del mercado. Para poner un ejemplo: es que la percepción del servicio de un vendedor de eBay va ligada con la calidad y velocidad de las entregas de sus pedidos, de forma que el vendedor debe hacer pocos envíos realizados por él mismo, o delegar en una empresa que empaque y entregue, para lo cual, hace su propia evaluación de proveedores y termina escogiendo los proveedores que cumplan con sus estándares de servicio y diferenciación. Este mismo fenómeno ha llegado a nuestros Centros de Datos y servicios de TI. Lo que creíamos que era el núcleo de nuestro negocio (el Centro de Datos), ahora se ha convertido en nuestro eslabón más débil y costoso, debido a la economía de escala. De forma similar a lo que sucedió con la primera y tercera revolución industrial, dígase, precio por cantidad que ofrecen los servicios de nube, entendiendo que no estamos hablando solo de hardware y software (que si está en el paquete), sino de todo el conjunto operativo, incluido el personal. Como en anteriores revoluciones industriales hay múltiples incógnitas, de las cuales se desprenden miedos, resistencias, y atolondramientos. Para ser más específico; los nuevos sistemas de TI, tienden a reducir la necesidad de personal en las empresas, pero al mismo tiempo crean una dependencia alta en el proveedor, en el que recae toda la responsabilidad de entregar un servicio consistente, eficaz y sobre todo, más económico. Todo esto apunta a un pragmatismo de reducción de costos enfocado en una operación más eficiente y por ende más rentable para los accionistas. El instituto 451 Research ha conducido un estudio sobre cómo las empresas ven su panorama de consumo de servicios cloud; y uno de los grandes hallazgos fue que el 62% de las empresas de las más de 1700 encuestadas están inclinadas a delegar la administración de sus plataformas cloud en una empresa de servicios por tres razones principales: para enfocarse en sus operaciones neurálgicas, maximizar el retorno de inversión y aunque no lo parezca, la garantía de la seguridad de la información. Esto último, apunta según mi criterio a que, el negocio de la empresa que presta el servicio de nube es vital, ya que su buen desempeño depende la continuidad de la relación, y en el caso de un incidente cual sea, la mayor parte de las penalidades recaerán sobre este tercero, porque es el responsable contractualmente de las plataformas y la información en ellas contenidas. Para esto, más que seleccionar una solución, se debe escoger un socio que ofrezca: Ventajas de flexibilidad en términos de localidades para ubicación de servicios por cumplimientos regulatorios, recuperación de desastres regionales, servicios heterogéneos para cubrir el real abanico de necesidades; como por ejemplo IaaS de nube privada o pública, ERP y CRM administrados, servicios  gestionados  de impresión, archivado, respaldos, bases de datos, portales, networking, comunicaciones unificadas, y todo esto con las mejores prácticas y servicios de seguridad de la industria. SLA (Service Level Agreement) respaldado económicamente, y esto no es soloquesecumplansinotambiénajustarlos para adaptarse a los requerimientos de industria. No es lo mismo el SLA de RTO (Recovery Time Objective) para un banco que para bienes raíces. Esto porque detrás de un RTO hay involucradas muchas soluciones y métodos que pueden encarecer vertiginosamente, pero un socio responsable ofrecerá la solución que se ajuste a los requerimientos de la industria o del cliente mismo. Condiciones económicas ajustadas al presupuesto, esto es: un contrato de pagos periódicos que minimizan el TCO (Total Cost Ownership) y maximicen el ROI (Return On Invesment) en los plazos estratégicamente trazados por el cliente. GBM está enfocada en mejorar las condiciones de sus clientes con soluciones acorde a los retos de sus propias industrias. En esta cuarta revolución industrial es vital contar con un líder de mercado que domine los desafíos de la Nube para el beneficio de todos.