jueves, 27 de abril de 2017

Seguridad y las prueba PISA


Los resultados de las pruebas PISA del 2016 generaron mucha controversia en Latinoamérica. Incluso algunos sectores han rechazado de plano las pruebas y consideran que no evalúan bien la realidad educativa de la sociedad.

Lo cierto es que los países hispanos no salieron bien librados y una falencia común fue la mala comprensión de lectura. Sin entrar en detalles polémicos, los resultados son un motivo de alarma para la profesión de seguridad informática. 

También existen otras consideraciones que este campo profesional afecta como la seguridad nacional y la necesidad de proteger la privacidad de los ciudadanos. La seguridad informática es vital en estas áreas.

Desafortunadamente, un nivel de comprensión de lectura de un 60% o menor es un gran impedimento para futuros y actuales candidatos profesionales.  La demanda en el área de seguridad es creciente y los salarios competitivos a nivel internacional. Las proyecciones laborales siguen presentando salarios mayores al promedio.  Pero, si los candidatos carecen de buena comprensión de lectura, los jóvenes estarán perdiendo una gran oportunidad que permita mejorar sus niveles de vida.

En los últimos años la práctica ha madurado y hoy hay varias sub-practicas que van desde el análisis de riesgo hasta el desarrollo de exploits de software. En el primer caso, el practicante deberá entender los protocolos de una organización, evaluar procesos de negocios y dilucidar la postura del riesgo. Obviamente, es necesario leer y entender extensa documentación que describa flujos de información, unidades de negocio, etc.

En el segundo excitante caso, un exitoso profesional entenderá muy bien el funcionamiento interno de sistemas operativos o protocolos de comunicación. Solo así, podrá encontrar las debilidades que intenta explotar.  Existe un mercado legal y muy lucrativo para quienes toman esta ruta. Una profesional con pobre compresión del funcionamiento de un sistema de información tendrá pocas probabilidades de triunfar en esa área tan promisoria.

A la falta de comprensión de lectura se suma el hecho que el material actualizado se encuentra en el idioma inglés. Por lo tanto, no existen buenos augurios si la comprensión falla en el idioma natal.

Algunos dirán que las universidades de élite locales gradúan profesionales que llenen estos requisitos. Sin embargo, estas universidades no cubren la demanda y muy poco tiene Latinoamérica para mostrar en la creación de empresas en este campo (Existen algunas excepciones).

Aunque suene repetitivo otros países si han visto la oportunidad y han creado políticas de fomento a alto nivel. Las empresas norteamericanas siguen disfrutando el liderazgo pero la competencia comercial es brutal. No es sorpresa que Israel, India y otros países asiáticos apoyen el talento en el campo de seguridad informática. Las promesa de estas oportunidades es un mercado laboral de altos salarios y empresas con ventas crecientes.  Sin duda, el deprimido mercado laboral latinoamericano daría la bienvenida a esta promesa.

Latinoamérica parece fallar en proveer a su población los requerimientos de la sociedad moderna. Es posible que existan muchas causas, incluso culturales, que expliquen el fracaso relativo en un área fundamental como la educación. 

La comprensión de lectura es un requisito básico y sin él, el profesional no entenderá sistemas complejos ni obtendrá las conclusiones necesarias que le permitan cumplir los requerimientos de la práctica. Esto solo aumentará la dependencia tecnológica de Latinoamérica.

jueves, 13 de abril de 2017

Análisis de riesgo y Ransomware VI. Errores comunes


La participación de personal de diversas áreas de la organización es fundamental para tener un análisis que se ajuste a la realidad de la organización. Sólo la participación con opiniones diversas y no necesariamente técnicas minimizan errores de juicio. 

Un error común que muchos ejecutivos de sistemas y seguridad cometen es asumir que el daño se limita al laptop o computador infectado. Sin embargo, nada es mas lejos de la realidad.

Si la victima del ataque es un administrador de un sistema informático el impacto del ataque puede ser gravísimo. Por ejemplo, si el sistema en cuestión es un sistema de almacenamiento conectado en red (NAS), entonces el daño causado por un administrador con un equipo contaminado puede extenderse a todos los datos almacenados de una empresa.

Como se puede dilucidar, un análisis con una errónea identificación de condiciones iniciales tendrá recomendaciones que pueden inducir a costosas consecuencias. Es en esta fase que la inclusión de diversas áreas del negocio provee su mayor valor. Solo la experiencia y el conocimiento colectivo de personal diverso permitirá identificar correctamente el impacto de Ransomware.

Además, el afinamiento del análisis solo ocurre cuando se realiza continuamente. Un análisis único simplemente será papel escrito muerto con recomendaciones que la organización nunca aplicará. En su etapa inicial, el análisis posiblemente requiera la participación de personal en intervalos semanales. En la medida que la práctica madure, el equipo de análisis puede incrementar el intervalo de reuniones.

Es infortunado que muchos departamentos de sistemas en Latinoamérica aun estén abrumados por el soporte técnico y dediquen poco tiempo a la identificación de escenarios negativos que pueden poner en peligro a la organización; y como consecuencia no tienen planes de defensa adecuados contra los diversos ataques que las organizaciones modernas sufren. Sin embargo, nunca es tarde para iniciar el primer análisis.