Noticias de Nuestros Miembros

Distribuir contenido
Blogs de los miembros del Foro de Seguridad de LACNICCMD60OzKh7YCfgont2013-06-19T11:46:07Z
Actualizado: hace 4 años 24 semanas

Lies, nuts, and the quest for attention

Mié, 06/19/2013 - 09:45
It was brought to my attention a recent flood of Twitter messages containing a number of accusations (ranging from "horrible", to "very horrible") against my person. And apparently it's the *second* flood of Twitter messages (the previous one being about two weeks ago).

The accusations were originated by someone who happened to be a speaker at the same Conference I was a speaker and trainer (CONFidedence 2013) and, for reasons that I didn't and don't understand, has been repeating blatant lies, every time magnifying it a bit more -- which nobody in their right mind could believe.

At the time this issue came up, I assumed that it was a completely out of place reaction product of the ingest of too much alcohol. But when the accusations and drama continued, I honestly had no idea what went and goes through this person's mind.

This world is a complex place, and one should be surprised to find someone with such a mental disorder to come up with such a number of blatant lies. It's sad, frustrating, and annoying... but not surprising.

What I personally think is more of a concern is the reaction of other people upon those lies:

  • People making their own judgement even without asking for a second opinion.
  • Others offering to beat a guy up to "make things even".
  • An organizer of a conference at which I was a speaker and trainer comment that "I would never speak at that conference again".
  • Others arguing that they should "destroy my career".
  • (Allegedly) technically-bright people making stupid and primitive comments (ala "let's go and kill him").

... and the list continues.


For a second, think about events that happened in the last decade based on "assumptions", or the kind of anti-humanitarian scenarios this world has experienced simply because some mentally-disordered person came up with a blatant lie that everyone followed with questioning.

I will personally not contribute to the existing drama, since it someone else's game to get attention at any price.

Ironically enough, the people that had access to hotel security video recordings and other sort of information are now also accused for 2not taking action". And the ones with no clues about what really happened, are the ones making statements and comments such as the ones mentioned above.

My participation in the on-line world will continue as always: contributing my best to network security field. But I will certainly start legal actions to everyone that has made accusations that they cannot back. And I personally encourage anyone that has any concrete accusation to make, that they do so with the corresponding legal procedures. That's the best guarantee you can get that proper actions will be taken where/as needed. But, at the same time, it also means that everyone that simply repeats blatant lies "just because you think you're not going to be held responsible for them", gets what they deserve for libeling someone that does not deserve it. As some friend used to say, "you shouldn't be concerned about signing a statement if you are telling the truth" -- but none has done that.

Supporting a known entity (or known "colleague") is one thing. Repeating blatant lies without even checking if there's any truth to them is a completely different thing.

My close friends, people that I respect (and that I know that have been exposed to these lies), and folks that respectfully asked me what this whole issue was about, have received my rather complete version and my thoughts of these accusations. However, there's nothing that can be told to irrational people (that have made the sort of statements that I mentioned above) that will make them change their mind -- that's when a lawyer comes in, so that people are hold responsible for what they do and say.

Twitter en Ecuador, Junio 2013

Sáb, 06/15/2013 - 06:23

Hace un año publiqué una lista de más de 270,000 cuentas ecuatorianas en Twitter. Hoy repetí el experimento y encontré 816,390 cuentas. Para saber más de la metodología y datos anteriores, ver aquí.

Como he explicado antes, hay varias consideraciones para esta metodología. La más notable es que mientras en cada ejecución se refina la metodología, los resultados anteriores pierden exactitud. Con la API 1.1 de Twitter (que se convirtió en obligatoria en medio de este mes) se facilita la recolección de tweets georeferenciados, que en el caso de Ecuador no son muy útiles (1% de las cuentas) Por lo tanto, como siempre, los cálculos de abajo están basados en las 816,000 cuentas conseguidas ahora (que, como antes, puedes bajar), y no en datos previos.

26% de estas cuentas usan Web para twittear, 19% Blackberry, 10% Android y 6% iPhone. Un 24% de las cuentas están potencialmente basadas en Guayaquil, y un 36% en Quito. Sin embargo, esa diferencia probablemente no sea tanta debido a la influencia de la variable timezone en el API de Twitter. Hay un 4% en Azuay, 3.8% en Manabí y un 28% de cuentas que no tienen una localidad particular. Solo 11,839 cuentas tienen coordenadas especificadas en sus tweets, y se ven así (no representativo, por limitaciones en el reverse geocoding)

La creación de nuevas cuentas supera mes a mes el promedio desde la explosión del 2011 (ver la gráfica de abajo) En Junio 2012 estimé que mi base crecía 20% trimestralmente.

Y aunque es lógico que las cuentas más nuevas tienen menos tweets y menos followers, el comportamiento continúa siendo un tanto frustrante: desde Enero 2012 el promedio de followers no ha subido de 100, y en 2013 en promedio se han escrito menos de 15 tweets/mes (en 2012 el promedio fue 20.5, con un pico de 25 en Mayo)


Carga rápida y masiva de Memcache para Nginx

Mar, 06/11/2013 - 00:58

Hace años escribí sobre como uso Nginx como proxy de Apache en algunas instalaciones. En esa arquitectura contemplo Memcache. La configuración es muy sencilla, basta agregar a la sección location que queramos cachear lo siguiente:

set $memcached_key $uri;
memcached_pass 127.0.0.1:11211;
error_page 404 @fallback;

Y agregar el location @fallback correspondiente:

location @fallback {
proxy_pass http://localhost:8000;
}

El único problema, como algunas personas que han usado Nginx con Memcache, es que alguien tiene que llenar Memcache con objetos para que Nginx pueda leerlos.

Usualmente, los desarrolladores de la aplicación usarán las librerías del lenguaje de programación para acceder a Memcache y cargar allí algunos objetos. Esto funciona, y es como la mayoría de la gente implementa este escenario. Sin embargo, si uno quiere cargar varios archivos de forma rápida a Memcache, no hay muchas herramientas sencillas y fácilmente disponibles.

Por ejemplo, hace dos meses en la wiki de Nginx alguien publicó un método para precargar memcache con Python. Es un enfoque interesante, pero complicado de mantener y decididamente experimental.

Sin embargo, memcache ya incluye un cliente llamado memccp que permite cargar archivos en Memcache. El problema es que este cliente no permite definir la llave con la que el objeto se almacena en Memcache. Esa llave es $uri, por ejemplo algo como /wp-content/plugins/akismet/akismet.gif.

Cuando Nginx encuentra un cliente que hace GET a este archivo, lo sirve desde Memcache, lo que en este escenario nos ahorra abrir una conexión TCP a localhost, que Apache atienda y responda una petición, y potencialmente I/O de disco.

Este parche a libmemcached permite que se defina una clave con –key, lo que facilita precargar archivos como imágenes o CSS en Memcache. Su uso es sencillo y se puede invocar desde un shell script (probado en dash)

#!/bin/sh
BASE=”/var/www/mysite”
for file in `\
find $BASE -type f \
-name ‘*.jpg’ -or \
-name ‘*.gif’ -or \
-name ‘*.png’ \
| sed “s#$BASE##”`
do
echo “Adding $file to memcached…”
sudo memccp –key=$file –servers=localhost $BASE$file
done

Entre otros escenarios que puedes activar en este caso, está el poder almacenar archivos para distintos hosts virtuales. En este caso sugiero que configures $memcached_key para usar $http_host y $uri, y añadas una variable de prefijo a tu script. También puedes correr otro memcache, si en realidad lo necesitas. memccp tiene otros problemas, por ejemplo no maneja la codificación de caracteres muy bien. Pero para archivos binarios, usualmente estáticos, ahorra bastante trabajo.

El repositorio en GitHub es un paquete fuente de Debian. Si tienes las dependencias (sudo apt-get build-dep libmemcached-tools) puedes construir el paquete (dpkg-buildpackage -b) e instalar libmemcached-tools que contiene memccp.

Este escenario es uno de los que describo en mi próximo libro rápido sobre Debian para aplicaciones Web, que está actualmente en fase de edición.


Unidades de estado sólido. El reto de la computación forense en el mundo de los semiconductores

Lun, 06/10/2013 - 16:58


IntroducciónEstamos ante una evolución acelerada de la humanidad, frente a una demanda sostenida de servicios de información e inmediatez en los mismos, que con frecuencia nos supera, una exigencia de actualización que genera cada vez más sobrecarga de información y por lo tanto, desborde en nuestra capacidad para procesar la misma.
En este sentido, se hace necesario contar con mejores alternativas para generar, procesar, almacenar, transportar, recuperar y disponer de manera eficiente datos e información. En consecuencia, las tecnologías de información y comunicaciones deben evolucionar y ofrecer nuevas propuestas que permitan estar a la altura de las demandas actuales y futuras, las cuales según informes recientes de Mckinsey (BUGHIN, CHUI y MANYIKA 2013), seguirá en aumento y generando mayores interpretaciones y analítica que claramente reclamará capacidad de procesamiento y almacenamiento.
Habida cuenta de lo anterior, las tecnologías de almacenamiento basadas en platos, brazos mecánicos y cabezas de lectura magnéticas, comienzan a llegar a su límite en cuanto a su velocidad y capacidad de almacenamiento. Con el surgimiento en los 90’s de las memorias USB, se abre la posibilidad de contar con medios de almacenamiento electrónico, con componentes que no se mueven y que se encuentran ajustados a tecnologías de almacenamiento basados en memorias NOR o NAND.
Este cambio de tecnología, nos lleva de la teoría de campos e impedancias magnéticas que se aferran a platos ferromagnéticos a la teoría del estado sólido, es decir, aquella donde las partículas está unidas por fuerzas de atracción grandes, que solo pueden moverse vibrando u oscilando alrededor de posiciones fijas, con una regularidad espacial geométrica, que dan lugar a diversas estructuras cristalinas ((?) 2005), para explicar una nueva forma de almacenar y mantener la información
En términos prácticos, las unidades de estado sólido son dispositivos híbridos que almacenan datos en una memoria de semiconductores conocido como memoria flash, sin partes mecánicas (sin cabezas móviles o discos giratorios) (BLOG Happy SysAdmin 2011). Estos poseen dos zonas de memoria, una en la que se guarda la información y otra que actúa de cache acelerando los accesos, muy parecida a la memoria RAM. (SÁNCHEZ IGLESIAS (?))
Como quiera que estos nuevos desarrollo tecnológicos, disminuyen las eventualidades que tiene los discos magnéticos: aumentan la capacidad de almacenamiento, tiene mayor resistencia a los golpes, un menor consumo de energía y rapidez en el acceso (pues no es susceptible a la fragmentación de los archivos) (idem), estamos ante una nueva forma de respaldar información que nos permite ser consecuentes con la eficiencia en el uso de los datos y la velocidad necesaria para suscribirse a nuevos servicios de información disponibles.
En este contexto, este documento busca comprender algunas de las características técnicas de las unidades de estado sólido, sus ventajas y limitaciones, así como los retos propios para los informáticos forenses que deben repensar sus procedimientos y análisis frente a este desafío tecnológico ahora basado en sistemas de archivos asociados con memorias flash y borrado intrínseco después de cada operación, entre otras características.
 Las memorias flash (TAL 2002)Las memorias flash fueron inventadas por el Dr. Fujio Masuoka mientras trabajaba para Toshiba en 1984.El nombre de "flash" fue sugerido por el investigador dado que el proceso de borrado de los contenidos de la memoria le recordó el flash de una cámara fotográfica. Los chips de memoria flashalmacenan datos en un gran arreglo de transistores de puerta flotante (MOS) de metal-óxido-semiconductor. Las pastillas de silicio se fabrican con una dimensión microscópica de un transistor, que actualmente son de aproximadamente de 40 nanómetros. (OLSON y LANGLOIS 2008)
Las memorias flash son memorias no volátiles que puede ser borradas y reprogramadas en unidades de memoria llamadas bloques. Una operación de escritura en cualquier dispositivo de flash sólo se puede realizar en una unidad vacía o borrada, por lo que en la mayoría de los casos, una operación de borrado debe preceder a la operación de escritura. La operación de borrado es bastante sencilla para los dispositivosNAND, mientras que para los NOR, se requiere que todos los bytes del bloque de destino se escriban conceros antes de que puedan ser borrados.
Dado que el tamaño de un bloque de borrado en dispositivos NOR oscila desde 64 hasta 128 Kbytes, una operación de escritura o borrado puede tardar hasta 5 segundos. Por el contrario, el uso de bloques de borrado de 8 a 32 Kbytesen un componente NAND realiza la misma operaciónen un máximo de 4milisegundos.
Las diferencia de tiempo en las operaciones de escritura y borrado aumenta aún más la brecha de rendimiento entre los componentes NOR y NAND. Estadísticamente se adelantan más operaciones de borrado en las unidades con dispositivos NOR, ​​por cualquier conjunto de operaciones de escrituraque se haga sobre este componente (sobre todo en la actualización de archivos pequeños). Por lo tanto, al seleccionar una solución de almacenamiento local, se deben considerar, al menos, los siguientesfactores:
  • Las NOR leen un poco más rápido que las NAND.
  •  Las NAND escriben mucho más rápido que las NOR
  •  Las NAND eliminan mucho más rápido que las NOR - 4 ms frente a 5 s, respectivamente.
  •  La mayoría para escribir requiere una operación de borrado previo.
  • Las NAND tienen unidades de borrado pequeñas, por lo que necesitan borrar menos.
De otra parte, JONES (2008) detalla los retos actuales que tienen las memorias flash, que ponen de manifiesto las condiciones de operación de las mismas, frente a los usos previstos asociados con almacenamientos masivos e intensos en procesamiento. Los desafíos a resolver en estas memorias son la recolección de basura (bloques no válidos), el manejo de bloques defectuosos y el manejo del desgate físico del dispositivo.
La recolección de basura es el proceso de recuperación de bloques no válidos (los que contienen una cierta cantidad de datos no válidos). Dicha recuperación consiste en mover los datos válidos para un nuevo bloque, y luego borrar el bloque no válido para que esté disponible. Este proceso se lleva a cabo habitualmente como proceso en “background” o cuando sea necesario, si el sistema de archivos tiene poco espacio disponible.
Con el tiempo, los dispositivos de flash pueden desarrollar bloques defectuosos bien por el uso o incluso por fallas en su fabricación, que no pueden ser utilizados. Se puede detectar la presencia de bloques defectuosos al tratar de ejecutar una operación sobre la memoria flash y ésta falla,  como puede ser borrar o una acción de escritura no válida.
Una vez identificados los bloques dañados, se marcan en la memoria flash en sí en una tabla de bloques defectuosos. La forma de hacer esto depende del dispositivo, pero puede ser implementado con un conjunto seleccionado de bloques reservados gestionados por separado a partir de bloques de datos normales. Esta funcionalidad se implementa en el hardware por un microcontrolador interno y por lo tanto es transparente para el sistema de archivos de nivel superior.
Finalmente y no menos importante, es el manejo del desgaste físico del dispositivo. Para maximizar la vida útil de la memoria flash, se proporcionan algoritmos de nivelación de desgaste, los cuales pueden ser dinámicos o estáticos.
Los dinámicos abordan el problema de un número limitado de ciclos de borrado para un bloque dado. En lugar de utilizar bloques al azar, los algoritmos de nivelación de desgaste dinámicos intentan distribuir uniformemente el uso de los bloques.
De otra parte, los algoritmos de nivelación de desgaste estáticos enfrentan un problema aún más interesante. Además de un número máximo de ciclos de borrado, ciertas memorias flash sufren de un número máximo de ciclos de lectura entre los ciclos de borrado. Esto significa que si los datos se almacenan por mucho tiempo en un bloque y se lee muchas veces, los datos pueden disiparse y provocar la pérdida de los mismos. Algoritmos de nivelación de desgaste estáticos enfrentan esta situación moviendo periódicamente datos antiguos a nuevos bloques disponibles.
Sistemas de archivos para memorias flashPara comprender cómo funcionan los sistemas de archivos en memorias flash, es preciso comprender la siguiente arquitectura interna de los dispositivos con memorias flash embebidas.
Sistema de archivos en memorias flash. (Tomado de: HU 2007)
El nivel de traducción de la memoria flash (Flash Translation Layer – FTL) es el controlador que funciona en conjunto con el sistema de archivos propio del sistema operacional para hacer parecer la memoria flash como si fuese un disco magnético. En primer lugar crea pequeños bloques de datos virtuales, diferentes de los grandes bloques de borrado que requiere la memoria para sus procesos internos como se vio previamente. Luego, gestiona los datos sobre la memoria flash como “asignados”, a pesar que internamente esté almacenado en diferentes lugares, para finalmente administrar los bloques limpios disponibles, así como los borrados para almacenar los datos. (INTEL 1998)
  El FTL emula un dispositivo de bloques. En este contexto, aparece el componente flash como si fuese una matriz contigua de bloques de almacenamiento numerados de cero al número total de bloques menos uno. En consecuencia, FTL se convierte en una traducción nativa del sistema de archivos y la memoria flash. Esto es, FTL reasigna los datos en una posición física donde van a ser escritos, esto permite que el sistema de archivo trate al dispositivos con memorias flash como cualquier dispositivo de almacenamiento por bloques, ignorando las características propias de las flash.
En realidad lo que ocurre, es que FTL ubica los datos en una ubicación disponible o de borrado, señalando la localización real de los mismos. Es importante anotar que previamente, antes de escribir, invalida el bloque que previamente contenía los datos (si es del caso).
Como podemos ver, el controlador de traducción de la memoria flash, desarrolla las actividades propias de los sistemas de archivos, creando la ilusión requerida por el usuario final en el sistema de archivos, para tener acceso a la memoria flash. Así mismo, un error en la traducción puede generar una pérdida de datos o inconsistencias sobre el almacenamiento de datos, toda vez que este componente de software (algunas veces de hardware) es el que mantiene la consistencia de los datos almacenados en la memoria flash.
Unidades de estado sólido Una unidad de estado sólido (Solid Disk Drive – SSD en inglés) es un elemento electrónico basado generalmente (a partir de 2010) en memorias flash NAND, el cual define un tipo de memoria no volátil diseñado como almacenamiento auxiliar. Todo este sistema es gobernado por un controlador, que establece un conjunto bloques de memorias NAND que actúan como un arreglo en miniatura, lo cual permite aumentar la velocidad de acceso, ya que es posible realizar varias lecturas y escrituras al mismo tiempo, haciendo que el dispositivo sea más resistente a fallos. (SÁNCHEZ IGLESIAS (?)).
Las unidades de estado sólido a diferencia de los tradicionales discos duros magnéticos, no tienen componentes mecánicos, ni tiempos de latencia de rotación, ni platos de almacenamiento basados en óxido ferroso, sino componentes electrónicos basados en memorias no volátiles que a través de controladores como el FTL, es posible interpretarlos como discos magnéticos para efectos de acceder a ellos de manera tradicional y natural.
A la fecha se advierten múltiples ventajas de estas unidades sobre los discos magnéticos dentro de las cuales se tienen: (BLOG Happy SysAdmin 2011)
  • Mayor rapidez de lectura, incluso 10 veces más que los discos duros tradicionales más rápidos gracias a arreglos internos de memorias en una misma unidad.
  • Baja latencia de lectura y escritura, cientos de veces más rápido que los discos mecánicos.
  • Lanzamiento y arranque de aplicaciones en menor tiempo - Resultado de la mayor velocidad de lectura y especialmente del tiempo de búsqueda. Pero solo si la aplicación reside en flash y es más dependiente de la velocidad de lectura que de otros aspectos.
  • Menor consumo de energía y producción de calor, resultado de no tener elementos mecánicos.
  • Sin ruido: La misma carencia de partes mecánicas los hace completamente inaudibles.
  • Mejorado el tiempo medio entre fallos, superando 2 millones de horas, muy superior al de los discos duros.
  • Seguridad, permitiendo una muy rápida "limpieza" de los datos almacenados.
  • Rendimiento determinístico - a diferencia de los discos duros mecánicos, el rendimiento de las unidades de estado sólido es constante y conocido a través del almacenamiento entero. El tiempo de "búsqueda" es constante.
  • El rendimiento no se deteriora mientras el medio se llena. Son inmunes a la fragmentación propia de los discos magnéticos
  • Menor peso y tamaño que un disco duro tradicional de similar capacidad.
  • Son resistentes: soportan caídas, golpes y vibraciones sin estropearse y sin descalibrarse como pasaba con los antiguos discos duros, gracias a carecer de elementos mecánicos.
  • Borrado más seguro e irrecuperable de datos; es decir, no es necesario hacer uso del Algoritmo Gutmann para cerciorarse totalmente del borrado de un archivo.
No obstante lo anterior, estas nuevas unidades de almacenamiento presentan algunas limitaciones conocidas a la fecha que deben ser tenidas en cuenta frente al uso de las mismas, como advertencias que motiven acciones de seguridad y control frente la pérdida de datos que puede presentarse. Los principales inconvenientes son: (idem)
  • Alto costo por gigabyte almacenado. US$ 2 dólares por gigabyte frente a US$0,05-0,10 por gigabyte en los discos magnéticos.
  • El tiempo medio de vida entre fallos (Mean Time Between Failures): la longevidad de este tipo de unidades es más corto que el de disco duro estándar por el hecho de que el número de ciclos de escritura a cualquier celda de memoria es limitada y una vez que se han consumido su cuota para ese bloque, el disco empieza a ser poco fiable.
  • El tamaño de almacenamiento disponible en gigabytes. Es una situación que conforme evolucione la tecnología se irá superando
En consecuencia de lo anterior, las unidades de estado sólido serán los medios de almacenamiento auxiliar estándar a corto y mediano plazo, toda vez que los discos tradicionales presentan importantes limitaciones en velocidad, confiabilidad y latencia de acceso, que los dispositivos electrónicos basados en memorias NAND han superado ampliamente.
  Retos de las unidades de estado sólido para la computación forense (WIEBE 2013) Como quiera que las unidades de estado sólido, establecen bondades tecnológicas importantes relevantes para mejorar el desempeño del almacenamiento en general, muchas de ellas implican limitaciones importantes para adelantar investigaciones forenses en informática dado que, como hemos visto previamente cualquier operación de escritura en una memoria flash exige una acción de borrado previo.
  De otra parte, como anota WIEBE (2013) el sistema operativo puede acelerar el funcionamiento de la unidad de estado sólido alertando sobre bloques potencialmente reutilizables mediante el uso del comando "TRIM". Este comando es una innovación reciente en la arquitectura de almacenamiento, que permite al sistema operativo indicarle al dispositivo de almacenamiento de estado sólido que un área particular del mismo está disponible para la limpieza y la reutilización. Por ejemplo, después que un archivo ha sido eliminado por el usuario,el sistema operativo le indicaráa la unidad de estado sólido a través de "TRIM" el área que abarca el archivo eliminado. Después de recibir la orden de "TRIM", el SSD moverá el archivo al espacio reservado para provisión, donde finalmente será saneado y marcado para su reutilización.
  Esto significa que a diferencia de los discos magnéticos donde se indicaba a través de una marca del sistema operacional la condición del espacio disponible o no asignado, en las unidades de estado sólido el comando “TRIM” elimina la capacidad de recuperar datos sobre los SSD, purgando los datos borrados antes que el sistema operacional llegue allí. (BELL y BODDINGTON 2010, REGAN 2009)
Por otro lado, tenemos las limitaciones propias del controlador FTL que puede ser utilizado por los atacantes para manipular la forma de acceso y distribución de los bloques de las memorias flash disponibles, pudiendo generar estrategias de ocultamiento de información como marcado de bloques defectuosos, fallas en los algoritmos de recolección de basura o lo que es peor, disminuir el tiempo de vida útil de las unidades de estado sólido, acelerando los ciclos de escritura sobre los bloques disponibles.
Un desafío adicional es el ejercicio del saneamiento profundo de los SSD, toda vez que los programas existentes de saneamiento de discos no son efectivos a la hora de entrar a fondo en los discos para eliminar la existencia de información allí disponible, dado que todo el tiempo se está moviendo información de bloques ocupados a bloques libres. Para ello se proponen variaciones del controlador FTL, con el fin de establecer funciones adicionales para borrado seguro que eliminan todos los restos de informaciónen los bloques reservados de la unidadde estado sólido. (LEE, HEO, CHO, HONG y SHIN 2008; WEI, GRUPP, SPADA y SWANSON 2011; SHEWARD 2012)
Estas condiciones previamente establecidas, supone que las herramientas forenses actuales deben ser revisadas para identificar y analizar en detalle el funcionamiento de las unidades de almacenamiento de estado sólido, para comprender la nueva ilusión del sistema de archivos a través del FTL, entender que el borrado efectuado sobre este tipo de medios es irreversible por el saneamiento intrínseco de la tecnología para aumentar su velocidad y ahora sus sustentaciones técnicas no podrán basarse en la lógica de los discos tradicionales de cilindros, pistas y sectores, sino relacionadas con direcciones de bloques lógicos asociados con compuertas NAND, que de manera secuencial se asignan y liberan.
Reflexiones finales Las unidades de estado sólido establecen una alternativa concreta para almacenamiento auxiliar que cada vez más se posiciona en el mercado de medios de respaldo de información, como una tecnología de alta velocidad, confiable y segura de tal manera que a pesar de su alto costo actual, comienza a desplazar los medios magnéticos tradicionales.
En este sentido, los investigadores forenses en informática deben comenzar a entender en profundidad esta tecnología toda vez que lo que conocen sobre medios de almacenamiento magnético, no podrá ser extrapolado a una tecnología basada en transistores de puerta flotante que almacenan información en celdas de único bloque o multibloque, donde los sistemas de archivo disponibles emulan la vista de un disco magnético tradicional para poder comprender la forma de registro de la información en el medio.
Así las cosas, los procedimientos de saneamiento, recuperación e imagen de discos actuales, deben repensarse a la luz de un avance tecnológico que para mantener su promesa de valor en velocidad y confiabilidad, debe mantener un conjunto de bloques lógicos de información disponibles para efectuar sus operaciones de escritura y borrado, que de hecho suponen actividades de saneamiento de bloques de información que claramente alterarán la integridad del medio, no por acciones no autorizadas, sino por la dinámica misma del dispositivo.
En consecuencia, los SSD representan bien una amenaza o una gran oportunidad para repensar la computación forense como quiera que exige de los peritos informáticos y/o especialistas en informática forense entrar en profundidad de esta nueva tecnología y comprender junto con los fabricantes, la forma como los avances en los semiconductores abren nuevas posibilidades para codificación de información, y que desde la vista de los sistemas de archivo, se puedan desarrollar alternativas que balanceen la necesidad de la trazabilidad de las acciones de los usuarios sobre los medios, así como la confianza y velocidad propia de éstos.
Si bien este documento, no pretende agotar la discusión científica ni las reflexiones prácticas alrededor de la práctica forense sobre los SSD, si busca motivar a todos los interesados para continuar indagando en las nuevas fronteras del conocimiento actual de las memorias flash, que no solamente están en las unidades de estado sólido, sino que cada vez más aparecen en medios inalámbricos, teléfono móviles, cámaras de video y fotografía digitales, así como en las nuevas consolas electrónicas, que están a la espera para continuar retándonos sobre esta realidad de componentes de silicio que supone una transformación y renovación de los profesionales e investigadores en informática forense.
Referencias (?) (2005) Estado Sólido. Disponible en: http://concurso.cnice.mec.es/cnice2005/93_iniciacion_interactiva_materia/curso/materiales/estados/solido.htm(Consultado: 9-06-2013) BELL, G. y BODDINGTON, R. (2010) Solid state drives: the beginning of the end for current practice in digital forensic recovery. The Journal of Digital Forensics, Security and Law. Vol 5. No. 3. Disponible en: http://www.jdfsl.org/subscriptions/JDFSL-V5N3-Bell.pdf(Consultado: 10-06-2013) BLOG Happy SysAdmin (2011) Solid State Drives, some theory and a selection of videos. Disponible en: http://www.happysysadm.com/2011/07/solid-state-drives-some-theory-and.html(Consultado: 9-06-2013) BUGHIN, J. , CHUI, M. y MANYIKA, J. (2013) Ten IT-enabled business trends for the decade ahead. Mckinsey Quarterly. May. Disponible en: http://www.mckinsey.com/insights/high_tech_telecoms_internet/ten_it-enabled_business_trends_for_the_decade_ahead (Consultado: 3-06-2013) HU, Y. (2007) Estimating Flash Media Performance for Embedded Systems. Micro Digital. Disponible en: http://www.smxrtos.com/articles/whiteppr/flashperformance.htm(Consultado: 9-06-2013) INTEL (1998) Understanding flash translation layer specification. Application note. Disponible en: http://staff.ustc.edu.cn/~jpq/paper/flash/2006-Intel%20TR-Understanding%20the%20flash%20translation%20layer%20%28FTL%29%20specification.pdf(Consultado: 9-06-2013) JONES, M. T. (2008) Anatomy of linux flash file systems. Disponible en: http://www.ibm.com/developerworks/linux/library/l-flash-filesystems/(Consultado: 9-06-2013) LEE, J., HEO, J., CHO, Y., HONG, J. y SHIN, S. Y. (2008) Secure deletion for NAND flash file system. Proceedings of SAC’08 – 2008 ACM Symposium on Applied Computing. Disponible en: http://eoslab.ssu.ac.kr/pdf/2008-5.pdf (Consultado: 10-06-2013) OLSON, A. y LANGLOIS, D. (2008) Solid state drives. Data reliability and lifetime. Imation research document. Disponible en: http://www.csee.umbc.edu/~squire/images/ssd1.pdf(Consultado: 10-06-2013) REGAN, J. (2009) The forensic potential of flash memory. Naval Postgraduate School. Unpublished Master Thesis. Disponible en: http://simson.net/clips/students/09Sep_Regan.pdf (Consultado: 10-06-2013) SÁNCHEZ IGLESIAS, A. (?) ¿Qué es un disco duro SSD? Disponible en: http://computadoras.about.com/od/preguntas-frecuentes/a/Que-Es-Un-Disco-Duro-Ssd.htm(Consultado: 9-06-2013) SHEWARD, M. (2012) Rock solid: Will digital forensics crack SSD? Infosec Institute Resources. Disponible en: http://resources.infosecinstitute.com/ssd-forensics/(Consultado: 10-06-2013) TAL, A. (2002) NAND vs. NOR flash technology. The designer should weigh the options when using flash memory. Disponible en: http://www.electronicproducts.com/Digital_ICs/NAND_vs_NOR_flash_technology.aspx(Consultado: 9-06-2013) WEI, M., GRUPP, L., SPADA, F. y SWANSON, S. (2011) Reliably Erasing Data From Flash-Based Solid State Drives. Proceedings of 9th USENIX Conference on File and Storage Technologies. Disponible en: http://static.usenix.org/events/fast11/tech/full_papers/Wei.pdf(Consultado: 10-06-2013) WIEBE, J. (2013) Forensic Insight into Solid State Drives. Digital Forensic Investigator. Summer. Disponible en: http://www.dfinews.com/articles/2013/05/forensic-insight-solid-state-drives(Consultado: 9-06-2013)

La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre

Mar, 06/04/2013 - 00:52


IntroducciónMuchos investigadores y ciudadanos pasan un tiempo importante pensando sobre el futuro, sobre las condiciones y riesgos que están por venir, sobre los nuevos retos que se van a plantear y la forma como deberemos enfrentarlos para alcanzar nuevas posiciones estratégicas en los mercados actuales y futuros.
Conocer el futuro es un problema complejo, pues exige saber que está pasando en la actualidad con certeza y ver entre líneas los aspectos emergentes, que pueden ser hoy sólo movimientos aparentemente pasajeros, pero que no dimensionamos sus alcances o factores que los puedan potenciar. Mucho del conocimiento que podamos tener del entorno no bastará para establecer un patrón de conocimiento emergente que pueda revelar el misterio lo que puede pasar en el mediano y largo plazo.
En este sentido, las organizaciones deben establecer estrategias que permitan cada vez más avanzar en el conocimiento de su entorno, buscando un recorrido perimetral completo que disminuya los puntos ciegos y aumentar su capacidad de anticipación, toda vez que es de esta forma como puede permanecer vigente y competitiva, aún frente a situaciones inesperadas.
Como quiera que el futuro, es una reflexión basada en escenarios aún por conocer o mejor, situaciones que ya pasaron y no las vimos, se hace necesario mantener en el radar una forma de afinar la revisión del medio ambiente empresarial y las situaciones propias de cada organización, con el fin de tener a la vista motivaciones y sugerencias que nos permitan ubicar los riesgos y amenazas emergentes más relevantes y poder actuar en consecuencia.
Habida cuenta de lo anterior, utilizando los conocimientos y estrategias fundadas en las relaciones humanas, asociadas con la forma de ofrecer retroalimentación, como lo es la Ventaja de Johari, instrumento ampliamente conocido en el ámbito social, buscaremos repensar los conceptos de amenazas y riesgos emergentes en el contexto empresarial, para ofrecer una nueva lectura de la Ventana de Johari, ahora como la Ventana de AREM (Amenazas y Riesgos Emergentes).
Entendiendo la Ventana de Johari“Todos los seres humanos tenemos zonas abiertas, zonas ocultas, zonas ciegas y zonas desconocidas. Mientras más amplia sea la zona abierta, mayor es la apertura y transparencia que generamos cuando interactuamos con los demás. Estas diferentes zonas fueron detalladas por los psicólogos Joseph Luft y Harry Ingham, que denominaron la Ventana de Johari, como una estrategia para mejorar la comunicación a través de la cual una persona da o recibe informaciones sobre sí misma o sobre otras personas.
La idea de usar este instrumento es alertar y tratar las áreas ocultas y ciegas que son las que predominan en la relación interpersonal. El área oculta es aquella donde hay elementos desconocidos por los demás y conocidos por la persona, mientras el área ciega, es aquello que la persona no conoce, pero es conocido por los demás.” (CANO 2013)
 
Conocido por la persona Desconocido por la persona Conocido por los demás

AREA LIBRE

AREA CIEGA Desconocido por los demás

AREA OCULTA

AREA DESCONOCIDA Tabla No.1 La Ventana de Johari (Tomado de: FRITZEN 1987, pág. 9)
La ventana de Johari, detalla FRITZEN (pág.11), “trata de explicar cómo deben procurar tolerarse mutuamente las diferencias en las distintas áreas de nuestra personalidad, con el fin de mejorar las relaciones interpersonales, a través del conocimiento de uno mismo y de los demás. (…)”. Este instrumento abre la posibilidad para explorar campos desconocidos de nuestro propio entorno que lleven a una mayor expansión del área libre, donde podemos actuar y movilizarnos para hacer de nuestras relaciones con otros, fuentes de ventaja emocional y empresarial, donde podemos construir propuestas conjuntas y relaciones gana-gana que superen la lucha de egos y se privilegien la suma de talentos y voluntades.
Así las cosas, la ventana de Johari es una forma para aumentar nuestra transparencia en las comunicaciones, motivando la posibilidad de aprender con los otros y recomponer el campo de las zonas grises de las relaciones humanas, que en lugar de ser espacios para la confrontación y la contienda, se conviertan en oportunidades concretas y confiables para que surja la confianza, esa condición fundamental para hacer  que las cosas pasen.
Las comunicaciones entre empresa y entorno: riesgos, amenazas y oportunidadesSi bien la Ventaja de Johari es un instrumento propio de las ciencias sociales, pensar en su aplicación a nivel empresarial resulta algo extraño y hasta incómodo, toda vez que pensar en comprender la misma dinámica entre la empresa y el entorno, como una persona y un grupo, puede ser algo inicialmente inesperado, peligroso y retador.
En el mundo empresarial, los análisis de las oportunidades de negocio siguen modelos establecidos y condiciones particulares que generan informes tipo que responden más o menos a lo que los ejecutivos quieren escuchar o entender. Rara vez, los informes de los analistas de entorno sugieren elementos que no estén dentro de los parámetros propios de sus pronósticos, como quiera que hacerlo, implica compromiso de su credibilidad y debilitamiento de su imagen frente a las decisiones que los ejecutivos van a tomar siguiendo sus reflexiones.
Así las cosas, comprender el entorno empresarial y revelar los patrones de cambio que se avecinan, no es sólo un ejercicio de correlación de eventos y datos acumulados durante mucho tiempo, sino de lanzarse a ver aquellos “espacios en blanco” que sugieren los números, situaciones excepcionales, condiciones límites, manifestaciones impropias y frecuentemente peligrosas que permite a la empresa, cambiar las cosas y quebrar los lentes de su inercia sectorial, para superar sus temores frente a la competencia y crear una nueva realidad donde, como afirma REHN (2012, pag. 34), pocos se puedan aventurar y donde sus técnicas de navegación mental ya no sean aplicables.
En este contexto, mientras más sea el conocimiento de la empresa sobre sus capacidades y habilidades para comprometer y desestabilizar su entorno, mayor será su fortaleza para transformar su ambiente y revelar las nuevas condiciones, que cambien la manera de hacer las cosas. De igual forma, cuando somos capaces de profundizar en las variaciones del entorno y prever nuevos vectores de riesgos, estamos avanzando en una reflexión que le permite a la empresa anticiparse y caminar sobre las aguas inciertas, con la vista en el nuevo reto, que sabe que enfrentará y superará, pues ha visto sus manifestaciones invisibles y advierte sus posibles impactos.
Por tanto, ante este escenario retador y de permanente incertidumbre, se requiere, como afirma ÁLVAREZ DE MON (2009, pág. 18) “un carácter decidido y resuelto, curtido en multitud de ocasiones, enfrentado a dilemas críticos (…)” que permita a los ejecutivos de las empresas de hoy, reconocer en la inestabilidad de los mercados, esa forma natural de “sentirse perdido” como prerrequisito natural para encontrarse consigo mismo y descubrir su auténtica realidad, esa que está más allá de los ejercicios de planeación estratégica, que se esconde en la manera como la organización se relaciona con su propia realidad, sin entrar como afirma ÁLVAREZ DE MON (idem, pág.19) en un superávit de futuro que genere angustia e intranquilidad insoportable.
La ventana de AREM, una lectura de la incertidumbre en las relaciones empresa y entornoModelar las relaciones emergentes del entorno de negocio es una actividad que reta cualquier modelo de pronóstico disponible a la fecha, pues tratar de representar la realidad futura con escenarios, siempre tendrá la limitación de la variable que no se puede especificar. Sin embargo, tratar de establecer un marco general de amenazas y riesgos emergentes (AREM), puede ser una lectura que permita a las organizaciones clasificar mejor sus acciones y tratar de equivocarse de manera diferente, motivando un “pensamiento peligroso”, evoluciona desde los tradicionales riesgos conocidos hasta las propuestas con momentos y condiciones inesperadas y desconocidas que, al contar con suficientes enemigos o detractores (REHN 2012, pág.34), valga la pena el ejercicio de oposición y crítica.
Así como, la Ventana de Johari, es un instrumento que nos permite establecer estrategias para aumentar la zona libre, esa área de conocimiento mutuo y convergencia de informaciones entre el yo y los demás, se propone hacer una lectura equivalente entre la empresa y su entorno, con el fin de crear un instrumento que mantenga en la mira de los ejecutivos de la empresa, los diferentes tipos de riesgos y amenazas que debe atender si quiere mantenerse vigente en su entorno.
En este sentido, se plantea la Ventana de AREM, como una vista estratégica y táctica de actuación de los ejecutivos de la empresa, para comprender los aspectos conocidos y desconocidos de sus capacidades empresariales, en el contexto de aquellos riesgos y amenazas propias de su entorno, así como de los vectores de inestabilidades emergentes que deben identificar dentro y fuera de su realidad corporativa.
Siguiendo esta propuesta, se presenta a continuación la Ventana de AREM que establece las diferentes zonas de alcance de las amenazas y riesgos conocidos, focalizados, latentes y emeregentes como una forma de motivar el análisis de los ejecutivos y provocar las ideas que “en tiempos de guerra” permitan encontrar maneras de sobrevivir.

Conocido por la empresa Desconocido por la empresa Conocido por el entorno

AMENAZAS Y RIESGOS CONOCIDOS

AMENAZAS Y RIESGOS LATENTES Desconocido por el entorno

AMENAZAS Y RIESGOS FOCALIZADOS

AMENAZAS Y RIESGOS EMERGENTES Tabla No. 2. La ventana de AREM
Las amenazas y riesgos conocidos son las situaciones tradicionales que se presentan en la organización. Las típicas sesiones de riesgos que buscan comprender que acciones se adelantan frente a temas como fuga de información, errores y/o omisiones, multas y/o sanciones, pérdidas de imagen, acceso no autorizado, pérdida de liquidez, inestabilidad de mercados, entre otros que mantienen la operación de la empresa frente a condiciones que se sabe conocidas y que exigen acciones permanentes para mantenerlas bajo control y conocer qué hacer cuando alguno de ellos se materializa.
Las amenazas y riesgos latentes, son aquellas circunstancias que se advierten en el entorno y que son generalmente desconocidas en el contexto de negocio de las empresas. Dichas situaciones se manifiestan de manera frecuente y son detectadas por los analistas empresariales, sugiriendo patrones y condiciones particulares a través de la cual se pueden presentar. Su comportamiento es asimétrico y genera ruido e incertidumbre en el entorno, condiciones propias de una sorpresa predecible. Un ejemplo de esta realidad la podemos asociar con los patrones de comportamiento que se identificaron con la deuda inmobiliaria en los Estados Unidos de América que generó una crisis interna con afectación internacional, la cual se advertía en los análisis de los estudiosos de los mercados.
Las amenazas y riesgos focalizados, son situaciones propias de una industria o sector de negocio, que afectan la competitividad y posicionamiento de una empresa en un nicho específico. Son escenarios por lo general desconocidos en el entorno, pero conocidos por la empresa, dado que reconoce y sabe el comportamiento de su sector de negocio. Este tipo de amenazas y riesgos focalizados, deben instar a los ejecutivos de la empresa a estudiar de manera permanente los avances y novedades de su industria, para identificar nuevas formas de hacerlas cosas y crear los escenarios donde su empresa pueda movilizarse sobre las inestabilidades del sector y alcanzar una posición privilegiada.
Finalmente y no menos importantes, las amenazas y riesgos emergentes, esos momentos, ideas, propuestas de contextos que retan las capacidades de la empresa y privilegian más las posibilidades que las probabilidades. En este sentido, como afirman WESTERMAN y HUNTER (2009, pág.22) “las empresas responden de manera más eficiente a los riesgos que entienden, por muy impredecibles que sean, que a los que no entienden”. Así las cosas, situaciones como las amenazas persistentes avanzadas y los ataques ciberterroristas, las podríamos tipificar como condiciones básicas para pensar e investigar en escenarios aún no conocidos, que suponen per se cambios y destrucción.
Revisando la ventana de AREM: una lectura desde la inseguridad de la informaciónLos analistas de Mckinsey (BUGHIN, CHUI y MANYIKA 2013) establecen diez tendencias emergentes que transformarán la vida personas y empresarial en la próxima década. Dicha lista está conformada por las tecnologías sociales, aquellas que potencian la interacción de los individuos y organizaciones en la red; el uso de grandes volúmenes de datos y su respectiva analítica, con el fin de advertir patrones emergentes y relaciones desconocidas reveladas a través de los datos; el internet de las cosas, como una nueva realidad extendida de la red ahora en dispositivos cotidianos conectados a la red; la propuesta de “todo como un servicio” como una forma de estandarizar todo aquello que podemos hacer desde recursos compartidos y visibles en la red; la automatización del conocimiento, que potencia a los trabajadores del conocimiento, que aumente la productividad empresarial más allá de los patrones identificados en el ejercicio de la analítica de los datos; la potenciación del ciudadano digital, como factor diferenciador de un nativo digital informado y dispuesto a transformar la manera de hacer las cosas; el quiebre de las fronteras entre lo físico y lo virtual, como una renovación del espacio vital del ser humano, ahora con experiencias diferentes y aumentadas de su realidad; la personalización y simplificación de los modelos de negocio basados en la red, como una vista particularizada de intereses de los ciudadanos digitales, clientes de nuevos bienes y servicios; la creación de mercados electrónicos dirigidos por las tendencias de los nativos digitales que permiten la evolución de los sistemas pagos y logística en el entorno digital y finalmente no menos importante, los impactos de los avances tecnológicos en el gobierno, la educación y la salud, como forma de favorecer el producto interno bruto de las naciones que desean ser parte de la realidad de un mundo en línea y con límites desconocidos.
Revisando cada una de estas tendencias encontramos un común denominador en cada una de ellas. Un elementos que permite cohesionar cada una de ellas y diferenciarlas al mismo tiempo. Una fuente de oportunidades y riesgos propios que busca crear una sensación de exclusividad para todos aquellos que participan de un entorno digital, altamente interconectado, con información instantánea y ahora en la nube. La información se convierte entonces, en palabras de un académico colombiano, en el nuevo “petróleo del siglo XXI”, una materia prima que está en capacidad de generar valor para aquellos que logran transformarla en activos valiosos, por los cuales otros están dispuestos a pagar.
Habida cuenta de lo anterior, es a través de la información como las empresas logran superar sus miedos o potenciar sus temores. Es la forma como cada una de ellas es capaz de tratarla, lo que hace que algunas se ubiquen en lugares privilegiados y otras no. Por tanto, su inadecuado tratamiento puede llevar a situaciones delicadas que deterioran su capacidad de anticipar las amenazas y riesgos que afecten su operación o lo que es peor, comprometan su futuro.
En razón con lo anterior, se hace necesario pensar de manera diferente frente a los análisis de riesgos relacionados con la seguridad de la información y motivar un ejercicio desde la Ventana de AREM que “luche contra las tendencias profundamente arraigadas de nuestro pensamiento” (REHN 2012, pág.64) para abrirle las puertas a las posibilidades, considerando, como afirma TRUMP y KIYOSAKI (2013, pág.206) tanto a la empresa como su entorno “tu propia escuela de negocios y programa de desarrollo personal”.
La ventana de AREM leída en clave de la inseguridad de la información, es una herramienta de pensamiento lateral (DE BONO 2006), que deben ser animada por el cuestionamiento de las suposiciones, hacer las preguntas correctas, intentar nuevos marcos o puntos de vista (aún suenen descabellados) y motivar un análisis lógico y disciplinado del razonamiento que interrogue la solución cómoda y conocida, para entender aquello que está en el campo de las posibilidades y no en el de las probabilidades.
Reflexiones finalesAnota ÁLVAREZ DE MON (2009, pág.18) “las cumbres del espíritu humano han sido conquistadas a base de ensayo y error. (…) un itinerario que dista mucho de ser sencillo. (…)”, palabras que recogen muy bien las reflexiones que se han planteado alrededor del ejercicio de tratar de aventurarnos en las aguas de la incertidumbre. No podemos negar que nuestro conocimiento finito e incipiente de la realidad nos margina muchas veces de nuevas oportunidades para crear activos claves que representen valor y beneficio para un tercero.
Sin perjuicio de lo anterior, existen iniciativas que buscan enfrentarse al reto de entender las condiciones del entorno, aun sabiendo que para sobrevivir en un sector de negocios, se requiere como afirma TRUMP y KIYOSAKI (2013, pág.228-229) “aprender de distintos temas y hacerlo con rapidez”, so pena de ser arrasados por la constante variación de los mercados y de los sectores de negocio. En este sentido, la ventana de AREM, es una propuesta novedosa que busca motivar a los ejecutivos para pensar sobre aquello que conocen y desconocen, una apuesta para detallar y profundizar la misión empresarial que los moviliza para crear las condiciones de operación que les permita “caminar sobre las aguas” de la inestabilidad y no morir en el intento.
De igual forma, la ventana de AREM es una forma de nunca subestimar las condiciones asimétricas de la inseguridad de la información, sino más bien, de pensar en los detalles que implican su entendimiento, la mente de los atacantes, las relaciones propias entre la tecnología, los procesos y las personas, las vulnerabilidades latentes, que no marginan el conocimiento de los actores de la organización, sino que potencian sus reflexiones para crear un vitrina de aprendizaje y desaprendizaje que hablan de una empresa resistente a la fallas no por excepción, sino por convicción.
Si en el ejercicio de proteger los activos de información de la empresa, los ejecutivos y el responsable de seguridad se concentran en los mecanismos de prevención y control, no estarán actuando en el escenario real de su entorno y el ejercicio de la ventana de AREM será marginado a listas de chequeo que no desarrollarán su capacidad preventiva. Mientras, si estos actores se enfocan en el conocimiento abierto y concreto de su escenario de amenazas y riesgos emergentes, con una vista diligente y creativa, estaremos creando un activo intangible de protección que está más allá de una estrategia de seguridad de la información, una capacidad de actuación que moviliza decisiones sencillas y ejecutables.
Recuerde que en la era de la información y el conocimiento, afirman TRUMP y KIYOSAKI (idem, pág.253) “no es la velocidad de las líneas de ensamblaje la clave del éxito, sino la velocidad y la alta calidad con que el pensamiento humano trabaja para alcanzar un objetivo común”, por tanto que la ventana de AREM, se transforme poco a poco en esa forma de ver en el margen de las hojas y la excusa para detectar los detalles que hacen la diferencia, cuando nuestro pensamiento insista en retornar a su zona de confort.
ReferenciaTRUMP, D. y KIYOSAKI, R. (2013) El toque de Midas. Por qué algunos empresarios se hacen ricos, pero la mayoría no. Ed. Aguilar. FRITZEN, S. (1987) La ventana de Johari. Ejercicios de dinámica de grupo, de relaciones humanas y de sensibilización. Sal Terrae. BUGHIN, J. , CHUI, M. y MANYIKA, J. (2013) Ten IT-enabled business trends for the decade ahead. Mckinsey Quarterly. May. Disponible en: http://www.mckinsey.com/insights/high_tech_telecoms_internet/ten_it-enabled_business_trends_for_the_decade_ahead(Consultado: 3-06-2013) ÁLVAREZ DE MON, S. (2009) Incertidumbre, hábitat natural del directivo. IESEInsight. No.1. Segundo trimestre. WESTERMAN, G. y HUNTER, R. (2009) Hable un idioma común sobre el riesgo en TI. IESEInsight. No.1. Segundo trimestre. REHN, A. (2012) Ideas peligrosas. Cuando el pensamiento provocador se convierte en el activo más valioso. Pearson. CANO, J. (2013) Comunicación con DIOS. Frase de la Semana. Disponible en: http://frasedelaseman.blogspot.com/2013/05/comunicacion-con-dios.html(Consultado: 3-06-2013) DE BONO, E. (2006) El Pensamiento Lateral. Editorial Paidós Ibérica S.A.

dpkg’s ‘interest-noawait’ directive

Vie, 05/10/2013 - 21:31

For years I’ve used unstable on my personal laptop. The only problem with using unstable is that the upgrade paths are fuzzy, and if you can catch up with the upgrades (because you’ve been user other system, or you’ve been travelling, or you’ve been relying on the APT cache because you don’t have much disk space and/or bad connectivity) then you are basically on your own.

While dist-upgrade’ing this week, I got into a dpkg hard stop because the trigger contained an unknown ‘interest-noawait’ directive. If you are a Debian head then the solution is as clear and straigthforward to you as it was to me: install the newest dpkg first. Enjoy sid. Even if it eats your dog. See below:

bureado@oersted:~$ sudo dpkg -i /var/cache/apt/archives/install-info_5.1.dfsg.1-3_i386.deb
/var/cache/apt/archives/install-info_5.1.dfsg.1-3_i386.deb
(Leyendo la base de datos … 265182 ficheros o directorios instalados actualmente.)
Preparando para reemplazar install-info 4.13a.dfsg.1-8 (usando …/install-info_5.1.dfsg.1-3_i386.deb) …
dpkg: error al procesar /var/cache/apt/archives/install-info_5.1.dfsg.1-3_i386.deb (–install):
el fichero de disparadores ci contiene una directiva desconocida `interest-noawait’
Se encontraron errores al procesar:
/var/cache/apt/archives/install-info_5.1.dfsg.1-3_i386.deb

bureado@oersted:~$ sudo dpkg -i /var/cache/apt/archives/dpkg_1.16.10_i386.deb
(Leyendo la base de datos … 265182 ficheros o directorios instalados actualmente.)
Preparando para reemplazar dpkg 1.16.0.3 (usando …/archives/dpkg_1.16.10_i386.deb) …
Desempaquetando el reemplazo de dpkg …
Configurando dpkg (1.16.10) …
Procesando disparadores para man-db …

bureado@oersted:~$ sudo dpkg -i /var/cache/apt/archives/install-info_5.1.dfsg.1-3_i386.deb
(Leyendo la base de datos … 265194 ficheros o directorios instalados actualmente.)
Preparando para reemplazar install-info 4.13a.dfsg.1-8 (usando …/install-info_5.1.dfsg.1-3_i386.deb) …
Desempaquetando el reemplazo de install-info …
Configurando install-info (5.1.dfsg.1-3) …
install-info: warning: no info dir entry in `/usr/share/info/smbc.info.gz’
Procesando disparadores para man-db …


Viviendo con estática

Lun, 05/06/2013 - 19:14

Siempre he tenido problemas con la electricidad estática. Algunos de esos problemas se agravaron cuando me mudé a Quito, pues el clima era un poco más seco, y ahora están significativamente peores.

¿Qué significa vivir con estática? Significa que tienes una reticencia quasi-Pavloviana a abrir puertas, encender luces, tocar aparatos con piezas metálicas, conectar periféricos al computador, bajarte de un vehículo, entre otras cosas. Y además, que cuando te rozas con alguien que está cargado de electricidad estática, tienes un desagradable chispazo que usualmente sobresalta y la gente te mira como si quisieran exorcizarte un demonio. Incluso si ese alguien es tu perro.

Hay muchos factores que agravan el problema. Remover o mitigar estos factores puede ayudar. Los principales son el clima seco y la fricción entre dos superficies (usualmente telas, aunque también los zapatos con la alfombra) El clima seco se puede mitigar con un humidificador o plantas, y agravar con aire acondicionado. Pero la fricción entre dos superficies (como tu pantalón y el asiento del carro) no se puede mitigar (existen zapatos que se descargan, pero eso es harina de otro costal)

Como no podemos mitigar eso, hay algunas técnicas que, con el tiempo y la disciplina, pueden ayudar:

  • Utilizar un dispositivo para descargar la estática. Yo utilizo este. Lo cargas contigo y tocas las superficies metálicas con él antes de tocarlas tú. También puedes tocar personas o perros. Un poco raro, pero funciona.
  • Utilizar un clip de metal para descargar la estática. Tomas un clip cualquiera, lo llevas contigo y tocas las superficies metálicas con él antes de tocarlas tú.
  • Poner una mano en la carrocería del carro antes de salir del carro. Abres la puerta, tocas el metal, pones tus pies afuera y sueltas el metal. Si no lo haces, o lo haces mal, recibirás un calambre.
  • Usar partes del cuerpo menos sensibles para tocar algo, por ejemplo los nudillos o las partes de abajo de las palmas de las manos.

Utilizar cremas y lociones en las manos, así como agua en spray (alguna gente utiliza agua y suavizante de ropas), frotarse láminas de secado (populares en Estados Unidos para suavizar la ropa en la secadora) o utilizar bolas para secar en la secadora, o productos como Static Guard también pueden ayudar.

Las alfombras son las principales culpables. Aplicarles Static Guard o limpiadores y luego aspirarlas, junto con humidificar un poco el ambiente puede ayudar. Anyway. Happy buzzing!


“The Open Source Guy at…”

Mar, 04/30/2013 - 19:22

While attending the Open Business Conference (formerly the Open Source Business Conference) in San Francisco, I noticed how some people were referred to as “the open source guy at…” foo/bar/baz.

Gender issues aside, I think it is interesting to notice that lots of places don’t have open source “guys” anymore… but open source teams, with broad strategies in place. And the open source “guy” role has merged into the business, adding value to the business.

Don’t get me wrong, I understand the value of the “guy” – she’s a catalyzer for open source inside the business and liaisons with executive leadership. And perhaps I’m lost in translation – as a non-native English speaker perhaps I give it too much importance.

Agreed, Microsoft’s a different animal composed of several product groups with open source guys and girls, Microsoft Open Technologies, some Open Source labs, people doing standards, lawyers and also the field team that does Open Source from a Corporate perspective.

And meanwhile, if you’re the open source guy or girl at foo/bar/baz, I’d love to hear from you!


Thoughts on Virgin America’s Red

Mar, 04/30/2013 - 16:46

On Sunday, I flew with Virgin America for the first time on a Seattle – San Francisco PM flight. I was looking forward to the experience with this airline. They had cool things, such as the cabin lighting, the refined accent/pronunciation of some crewmembers, the cleanliness of the plane, etc. But in general I had some issues mostly due to Red, the inflight entertainment system, and a few non-related issues such as the boarding passes being unable to be saved/sent/printed, delayed departure and arrival, etc.

Back to Red. Red is very advanced. It allows you to chat with other seats, buy food and products and have them delivered to your seat, and consume content. It is not surprising since they seem to be running an X Server, thus Linux on the backend (although not as visible as Avianca-Taca’s Linux-based system)

Red is also a barrier that Virgin America puts between you and the flight attendants. This is a good thing, because flight attendants are not there for inflight service but for safety, including collaborating to a prompt departure from the gate. But the problem is that Virgin gives you little opportunity to workaround that barrier, should anything happens.

I ordered food and headphones. Seconds later, a flight attendant throwed me some pink headphones. I was startled by the headphones falling on my lap, then because they were bright pink headphones. When I turned my head up, she was gone. I couldn’t find a flight attendant button at my reach or a function on Red to call them. I wasn’t standing up my seat and/or reaching to the console above my seat for this. I decided to wait until they brought my food.

But they never did. They ran a cart across the cabin and delivered free drinks, but no food. I decided to shut up and see what happened. They ran by my seat and nothing happened. So I reordered water on Red (it was free) and when the attendant came I asked for my food and a blue set of headphones. She was really helpful and concerned that I didn’t get my stuff. At the end she made it right, though.

I love inflight entertainment systems, especially when they go above and beyond the trivial content consumption model and offer you more value such as communication, learning, shopping, etc. And I love that they are based on Linux and open source components that I know. In this case, Virgin is leveraging Red as a barrier but they need to work on mechanisms for people to workaround the barrier when they need it.

BTW, I would fly Virgin America again.


Cultura de seguridad de la información. Custodio de la ventaja competitiva empresarial

Lun, 04/29/2013 - 02:39


Hablar de una cultura de seguridad de la información en el contexto de una sociedad altamente conectada, de información instantánea, con movilidad permanente y exigente de nuevos servicios tecnológicos, es hablar de un blanco móvil en un escenario dinámico, es decir, el desafío de crear valor desde la protección de los activos de información, haciendo parte de las exigencias de los mercados emergentes donde la velocidad de ingreso, la oportunidad del producto y las ventajas superiores de los servicios marcan la diferencia cuando de crear una experiencia diferente se trata.
La seguridad de la información como función de cumplimiento estratégico de una organización, debe ser la custodia de la esencia del tratamiento de la información, motivando la protección de aquello que importa a la empresa, con el fin de preservar la ventaja competitiva de la organización y su posición privilegiada en un mercado. En este sentido, el fortalecimiento de la cultura de seguridad de la información, se convierte en un esfuerzo dirigido desde la misma estrategia corporativa, que leído en clave de objetivo estratégico de negocio, significa asegurar que las decisiones que se toman se ajustan al cumplimiento de una declaración de cuidado y protección de aquello que nos diferencia y hace que seamos valorados en los mercados.
En este sentido, la inversión en la cultura de seguridad de la información, es equivalente a los esfuerzos que las organizaciones actuales hacen alrededor de temas tan relevantes como ética, lavado de activos, corrupción, financiación del terrorismo, entre otros, los cuales en últimas buscan hacer más consciente a las personas en las organizaciones de los riesgos a los cuales se encuentra expuesta a diario la empresa, como mecanismo de prevención frente a posibles fallas o retos regulatorios que pueda enfrentar la organización en el tratamiento de su información o la de terceros en su custodia.
Como quiera que la cultura de seguridad de la información describe un conjunto de creencias, prácticas, símbolos, rituales y valores alrededor del tratamiento de la información que definen que es importante en el ejercicio de protección de la información, es preciso establecer cuándo esta mezcla homogénea de condiciones sociales y humanas se convierte en un apalancador de la estrategia corporativa y cuándo se funda como un inhibidor de las potencialidades de la empresa frente a su entorno de negocio.
Una cultura de seguridad de la información que se encuentre enraizada dentro de los valores corporativos y se haga realidad en los comportamientos de la empresa, es decir, se practique desde aquello que nos interesa proteger y que es relevante para la toma de decisiones estratégicas, es una cultura que previene a la organización de actuaciones ilegales, de responsabilidades civiles frente a daños, de reclamaciones de sus grupos de interés y de reclamos por violaciones de políticas o compromisos voluntariamente adquiridos por la empresa.
En este sentido, la cultura de seguridad de la información protege la reputación y el valor mismo de la organización toda vez que en el ejercicio sistemático de comportamientos íntegros respecto del tratamiento de la información, se entiende a nivel corporativo que una actuación inadecuada puede tener consecuencias que afecten las relaciones de la empresa tanto dentro como fuera de ella. Esto es, comprometer el buen nombre de la corporación en el futuro inmediato degradando su reconocimiento empresarial, afectando la confianza de los terceros para hacer mejores negocios con ella.
Una cultura de seguridad de la información así expuesta y fundada desde el ejercicio de estrategia corporativa no tendrá otro efecto que el fortalecimiento de la organización en su sector de negocio, el desarrollo de un liderazgo explícito ante sus competidores y el reconocimiento de su entorno como jugador decidido y comprometido, no solamente con el buen tratamiento de la información, sino con la búsqueda del bien común como declaración general de todas sus actuaciones.
Cuando desarrollamos una cultura de seguridad de la información fundada exclusivamente en reglas y castigos por violaciones a las mismas, generamos un ambiente de temor, de desconfianza y de “encubrimiento de los errores”. Si bien, es necesario adelantar procesos disciplinarios y sancionatorios cuando se advierte una violación crítica frente al tratamiento de la información, que termine alterando una relación de negocios o impactando una futura, es claro que el fortalecimiento de los valores frente a la información y el liderazgo con el ejemplo, son factores determinantes para movilizar los esfuerzos de transformación de los comportamientos adecuados para proteger la información.
Una cultura de seguridad de la información que solamente busca culpables o violadores de las reglas, no podrá incorporarse como fuente de valor para la estrategia de la empresa, sino como factor que limita y compromete una gestión efectiva de la protección del valor de los activos críticos de información. Esto se presenta dado que la cultura de la represión y castigo en el mediano plazo genera “antecedentes negativos” que disuaden a futuros agresores de las políticas en sus intenciones, no por convencimiento de la importancia del tema, sino por el miedo a la sanción, lo que claramente no anima una cultura de protección saludable, sino una cultura de protección perversa que sólo espera el comportamiento inadecuado para actuar.
Así las cosas y como quiera que se hace necesario integrar las reglas, estándares y procedimientos para el tratamiento de la información, así como los valores y comportamientos íntegros frente a su protección, la cultura de seguridad de la información debe transformarse de ese conjunto de prácticas necesarias para asegurar el cumplimiento de una norma, a una forma de hacer negocios de manera efectiva y confiable, a una lectura estratégica de metas corporativas que abre nuevas posibilidades con nuevos jugadores del entorno.
Conscientes que nuestro entorno actual demanda compartir información y mantener relaciones informadas de manera permanente, desarrollar una cultura de seguridad de la información basada en reglas no será la mejor opción por lo anteriormente anotado, sino en una que conjugue las reglas, los valores y la cultura, así como aquello que hace única la relación entre las partes.
Entender estas tres condiciones base para elaborar una propuesta de un conjunto de prácticas relevantes y efectivas de protección de la información, es la respuesta que el entorno de negocios actual espera, una experiencia para movilizar esfuerzos de manera confiable, no por miedo a sanciones o represión, no por ventaja o posicionamiento de uno u otro actor, sino por el logro de un beneficio mutuo que hace que el mercado reconozca la voluntad de los participantes para administrar los riesgos del tratamiento de la información de manera conjunta, asegurando sus objetivos comunes sin comprometer la independencia o ventaja competitiva particular, esto es, potencializando las sinergias de ambas empresas.
En este entendido, la cultura de seguridad de la información descifra la forma como la empresa se hace más rentable, más reconocida y recordada, pues es capaz de conjugar la ventaja competitiva, es decir, esa forma particular a través de la cual una organización se diferencia en un mercado, con la manera en la cual la empresa desde su hacer natural, reconoce a la información como bien requerido y estratégico para operar, para tomar decisiones y confirmar su compromiso ejecutivo con la protección de la información, más allá de un tema de cumplimiento, sino como declaración de gobierno corporativo.
Referencias CHATMAN, J. y CHA, S. (2003) Leading by levaraging culture. California Management Review. Vol.45, No.4. Summer. ALFAWAZ, S., NELSON, K. and MOHANNAK, K. (2010) Information security culture: a behaviour compliance conceptual framework. In: Australasian Information Security Conference (AISC) proceedings. Brisbane, Australia. LIM, J., CHANG, S., MAYNARD, S. y AHMAD, A. (2009) Exploring the Relationship between Organizational Culture and Information Security Culture. Proceedings of the 7th Australian Information Security Management Conference. Perth, West Australia.

Audience Management, an example

Dom, 04/14/2013 - 22:52

Watch them one after the another. Nice hit, vs. nice goal!



(title unknown)IT-Insecurity

Vie, 04/12/2013 - 21:44

Bitcoins, Foreign Exchange Controls and Progressivism

Jue, 04/11/2013 - 00:57

Now that Bitcoin has fallen in the trough of disillusionment, I think the best way to approach my thoughts on the thing is thru one of the most frustrating things Venezuelans have had to live for the past 10 years: a local brew of foreign exchange control.

Travel is Evil, and Fists for Chickens

For about 5 years I had to deal with this control as I travelled quite a bit. I saw it evolve, from $4,000/year allowances to 500-page guides on how to prepare your forms to ask for allowances. And after I moved, I had to explain it to people (even those coming from a couple other countries with foreign exchange controls, such as Brazilians and Indians) so I ended up drawing countless diagrams and exploring different narratives to explain something that simply doesn’t belong in this 21st century.

There are two great animated videos that explain it, but they’re in Spanish. So let me try to go thru it quickly: residents of Venezuela aren’t legally allowed to buy and sell foreign currency. They can hold money abroad, sure, but if you live in Venezuela and earn money there, you can’t freely get your money out of the country.

Like my friend Alexander, from Ecuador, who worked in Venezuela for a couple years, made some money, moved out without his money and now has lost about 80% of his net worth there. At one point, the government “suggested” to convert his money in bonds for the aluminum industry, which several reports suggest stagnated in the past months.

You have to go thru a bureaucratic process to earn the right to buy a capped amount of foreign currency, regardless of your net worth and/or needs to access foreign currency. In some cases, such as for online shopping (in foreign retailers such as Amazon, or to pay for services with PayPal, etc.) you get a yearly cap ($400) and in other cases you get a case-by-case cap (for example, for international travel, in which case the amount depends on length of trip and destination, among other factors)

It’s also a discriminatory system since it rewards you (I think it’s actually mandatory for several categories) for having credit cards which are hard to get (I couldn’t get one because of my age, for example, even though I had stable work history for years) and if/when you get access to (minimal) amounts of foreign cash, you are not supposed to bring it back to the country (since you can’t sell them freely, right?)

This system was set up, allegedly, to avoid large Venezuelan companies to move their money out of the country. It also immediately impacted foreign companies that repatriate earnings (such as the Colombian airline Avianca or the Spanish Telco Movistar which are very vocal about them cutting back on large new investments) and of course anyone that needs to import something and pay for it.

But it also means the bolivar is not accepted outside Venezuela anymore, debit cards are useless when travelling and that a black market exists for FX (even mentioning the trading prices is jailworthy) which is subject to all the nuisances of black markets: speculative forces, counterfeit notes, money laundering, etc.

So, one would guess that decades of evidence provide enough insight on what happens when you funnel the economy thru such a bureaucratic system. The results are not surprising: importers either resort to the black market (thus inflating prices) or just don’t import enough to cover local demand. On top of that, a consumist mindset, devaluation and speculative forces add up to a disaster: shortages, high prices, people lining up and fighting for chicken, etc.

Of course, the question I get from most people is: why do laypeople have to suffer for the sins of the large companies, the importers and speculators? Well, 10 years after I think we all agree there’s kind of a political will for denying access to foreign culture thru travel, online shopping and imports – especially high-tech related. And this is useless in a country like Venezuela, whose main business partner is the greatest cultural influence the country has had, from language expressions to the national sport (baseball) practically on par with the Spanish colonists, and where sizeable groups of people of all socioeconomic backgrounds still prefer foreign goods and culture.

While reading this, I remembered the saying: “fascism is cured by reading, racism is cured by travelling” So it’s important to mention that this nonsense also affects the availability of recent books. I recall my trips to Tecniciencia (a technical library) where the only affordable books were about 8086 and FORTRAN. I can’t even imagine how the situation is right now.

Sad stories abound. For technology conferences, for example, if local professionals can’t talk others to come and have the conference locally (which in turn is a hard pitch to make since visitors won’t be able to freely take money out the country) then they’re basically unable to attend. Or you have to pay 5x for an outdated gadget for learning, because using your own money to buy foreign currency to acquire that is superfluous. Even perceptions of technology are influenced by the lack of networking and access to international markets. Not to mention people studying or with relatives abroad, medical or any other urgent need.

The worst part is that 10 years of policy make it cultural. Youngsters are used to this. They don’t need to travel, to meet new people, because everything is just right. They are at the very cutting edge of progressivism, doing all the right things and taking all the right decisions. Or are they?

Hype and Progressivism

While the rest of the world praises Bitcoin for “changing everything”, recent developments give us a more clear picture of what it is, what it isn’t and why trying to make it fit to all discourses is… risky (it’s been interesting to watch a regional trend of groups of FLOSS communities and influencers trying to round their discourse with “new” things such as privacy, encryption and payment mechanisms)

Let’s take a look at them:

  • A security-enhanced (people are starting to cut back on the “encrypted super ultra secure” wording after oh-so-many thefts and DDoS attacks) mechanism for trade is something to praise. The fact that it is open source AND has a good governance makes it better.
  • The fact that is distributed, peer-to-peer and doesn’t depend on central institutions is also a good thing. Not a thing that authoritative governments in culturally-isolated societies would love, but a good thing altogether. Also, it’s not that only in the US it’s illegal to print, mint and use your own coins. I recall this discussion in Ecuador and Venezuela with barter projects.
  • Given that most praise for Bitcoin comes from the BTC/USD exchange rate soaring in the past months (although notably, it plummeted today) it’s important to highlight that it basically changes nothing as people is transacting and thinking of it as being pegged to the USD, EUR or any other fiat currency.
  • Not having a monetary reserve that guarantees the funds (like when you deposit money on a bank, or some banks in some countries) is a liability, like it or not. But most importantly, it means it’s a risk investment, one that is open to the same forces (such as speculation, losing value, etc.) to existing instruments.
  • It changes absolutely nothing in a country like Venezuela. So putting it into your discourse won’t help if you still face a cultural and bureaucratic restriction. You still need government approval to buy some of them, or you need to resort to a dark market, or you need to use CPU power to mine them, for which you need to go to the government for approvals to import them and/or resort to a dark market. So either you are an outlaw or the government is subsidizing your Bitcoins in such economies. It doesn’t scale.

So, if it doesn’t change anything, then why people like it? Because it’s a hell of a payment mechanism. Direct, more secure, no commissions, difficult to trace, etc. Values such as privacy, security, and confidence show up. And there could be years until someone comes up with a more clever approach to it. I’m glad I’m not the only one to set it straight, it’s the top comment on this note about today’s loss of value: any other heavenly property you want to add to it, besides a good transaction method, is your own realm of magic… like your own economic island

And I really hope someone comes up with a better model for handling monetary policy, especially regarding foreign exchange in Venezuela. One that is humanist in nature, and conductive to Venezuela finding its rightful spaces in a global community, not necessarily buying and importing them. It seems that even inside the Government there are dissident voices about how to approach it, which might be a good thing.

I apologize to my Spanish-speaking readers for writing this in English, but I think it was worth it due to the foreign exchange explanation. But feel free to check out this great article about Bitcoin, in Spanish, that I really liked.


La estrategia en seguridad de la información. Descubriendo permanentemente la inseguridad de la información

Lun, 04/08/2013 - 01:42

IntroducciónLos cambios acelerados que se tienen en la actualidad y las tensiones emergentes frente al compartir y proteger información, ejercen sobre los ejecutivos de la seguridad de la información presiones que los obligan a repensar la manera como cumplir la promesa de valor inherente a su rol: “hacer que las cosas pasen de manera confiable, aun existan condiciones que amenacen su continuidad”.
En este contexto lleno de “verdades inestables”, tecnologías novedosas e individuos dispuestos a compartir sus propios secretos, el responsable de la seguridad de la información, debe revisar sus estrategias para ir más allá de las restricciones propias de los controles y renovar la pasión inicial de su misión, esa que le da sentido a su hacer, la protección de la información. (CANO 2013)
En el ejercicio de influenciar y persuadir, habilidades propias del encargado de la seguridad de la información, anota Montgomery (2012, pág.28), “los buenos estrategas nunca están quietos. Sin importar lo bien que se haya concebido, cualquier estrategia práctica en una empresa de hoy fracasará si los líderes la conciben como un producto terminado. (…)”.
Es decir, que en el ejercicio de la práctica de seguridad de la información, la inercia y la falacia de una consolidación del concepto, son alertas que deben asistir a los participantes del área de seguridad para formular nuevamente las preguntas fundamentales que permitan alcanzar el soporte y apoyo requerido por la organización y su cuerpo ejecutivo.
Una estrategia de seguridad de la información vigentePor tanto, mantener una estrategia de seguridad vigente en una organización exige del responsable de la seguridad de la información un ejercicio permanente de validación social por parte de terceros, reciprocidad con la organización y sus objetivos estratégicos, consistencia y compromiso con sus mensajes y conexión permanente con el lenguaje de los ejecutivos de la empresa. (SIMONIS 2013)
La validación social, busca que las experiencias de la seguridad de la información locales sean compartidas con otras empresas semejantes, es decir, que otras organizaciones en el entorno han pasado por situaciones similares y han tomado acciones que son análogas a las que se han tomado al interior de la compañía. Si bien, esto no es determinante para efectos de la estrategia, si establece un referente válido para el gobierno corporativo, en el sentido de que es una experiencia probada y que requiere revisión en el contexto de la empresa.
La reciprocidad con la organización y sus objetivos estratégicos se traduce en crear una condición gana-gana, donde las intervenciones del área de seguridad de la información no sólo ayudan a cerrar la brecha frente a los riesgos claves identificados en el flujo de información de un proceso, sino que adicionalmente genera “una percepción diferente” en los participantes del mismo, que hace se valorice el proceso y las áreas que en ella participan.
La consistencia y compromiso con los mensajes demuestra la capacidad del área de seguridad de cumplir con las promesas de valor declaradas para la organización, donde el ejercicio de la misión, se practica por cada uno de sus integrantes y se despliega en ese mismo sentido. Adicionalmente, se hace evidente la pasión de los miembros del equipo de seguridad de la información, lo que proyecta las actividades de la función de seguridad en el ejercicio de su espíritu de cumplimiento, el cual se refleja en el fortalecimiento de la cultura de protección de la información, anticipación de riesgos emergentes y aseguramiento de la operación.
Finalmente y no menos importante, la conexión permanente con el lenguaje de los ejecutivos de la empresa, el cual busca crear un vínculo positivo, que facilite una comunicación efectiva que permita superar el miedo, la incertidumbre y la dudas, por una declaración más propositiva y activa, que entiende el umbral del riesgo residual que acepta la empresa y promueve una visión emocionalmente retadora, para crear historias de éxito compartidas con el primer nivel de la organización.
En línea con lo que afirma Montgomery (2012, pág.82): “ (…) Los propósitos viables, los que valen lo suficiente para guiar lo que sucede en una empresa, no sólo deben importarte a ti, sino a quienes hacen negocios contigo. (…)”, la seguridad de la información debe estar articulada con aquello que es valioso para la empresa, que genera sentido y propósito tanto para los empleados de la empresa como para los terceros que transforman la compañía. Esto es, el valor de la información, no es solamente una declaración ejecutiva, sino un sentimiento y emoción enraizado en los comportamientos de los participantes, que ven en su cuidado, parte de la naturaleza de las relaciones de negocio.
Si esto no es así, se hace necesario que el ejecutivo de la seguridad de la información, revise la forma cómo “crea valor para la organización”, pues en la medida que es capaz de crear valor para los demás, anota Montgomery (idem) será capaz de captar algo de ese valor para su área. Esto es, la creación o generación de valor se traduce en un cambio de percepción en un contexto específico, que hace que las personas que allí participan verifiquen una nueva condición particularmente positiva de una experiencia hasta el momento desconocida.
Por tanto, la académica de Harvard Cynthia Montgomery establece en su libro “El Estratega”, que “mientras más preciso seas para expresar el propósito, mejor apoyará tu estrategia en desarrollo y, muy posiblemente, obtendrá nuevas perspectivas sobre tu negocio. (…)”, esto es, que en el ejercicio de transformar la distinción de seguridad de la información de una empresa, para que se convierta en una expresión natural de la forma como cada una de las persona actúa, requiere materializar un propósito, ese que lo hace distinto, que comunica los aspectos únicos de la función y las ventajas que ofrece, las cuales son valoradas tanto por la agenda ejecutiva, como por las personas en la empresa.
El reto de anticipar las amenazas emergentesComo quiera que la seguridad de la información es una función que actúa sobre lo inesperado y que generalmente cuenta con instrumentos de verificación y medición fundados en temas conocidos, es necesario que cada uno de los miembros de esta área, desarrollen su capacidad de anticipación como parte de las competencias propias de sus cargos, toda vez que es la forma más concreta y expedita para desarrollar un sistema de creación de valor, que de manera conjunta refuerce mutuamente la identidad que le confiere sus compromiso: “anticiparse a los riesgos y amenazas emergentes que impacten la seguridad de la información”.
En línea con lo anterior, Rerup (2013) establece  un modelo que ayuda a la empresas a identificar las medidas adecuadas para estar más atentas a las crisis. Dicho modelo, denominado triangulación de la atención, contempla tres dimensiones a saber: la estabilidad, la agudeza y la coherencia.
La estabilidad o “capacidad para mantener la atención en un tema concreto a lo largo del tiempo (…)”, es decir “ese conocimiento, profundo pero focalizado, de lo que ocurre en un contexto determinado. (…)”. Muchas veces en seguridad de la información requerimos conocimientos especializados y analíticos concentrados, que nos permitan estudiar una situación en profundidad para ver aspectos específicos de una situación que revisados de manera general no es viable advertir aquello que posiblemente ha materializado la falla.
La agudeza o “capacidad para atender distintas cosas simultáneamente e identificar patrones. (…)”, es decir la capacidad de identificar y analizar las relaciones entre las diferentes partes, para revelar comportamientos o situaciones, que no aparecen sino en el ejercicio conjunto de entendimiento de las mismas, advirtiendo propiedades emergentes que muestran una realidad subyacente invisible a nuestros ojos lineales y perceptible en nuestro pensamiento sistémico.
En seguridad de la información, ocurren muchas situaciones y eventos al mismo tiempo y nuestra capacidad limitada para entender los mismos, nos intimida frente a las amenazas que duermen latentes en el mundo de los datos consolidados fruto del ejercicio monitorización de la seguridad. Así las cosas, la correlación de eventos, la verificación de anomalías en los tráficos de red, los comportamientos inesperados de las máquinas y las personas, deben ser parte de la capacidad sistémica que debe desarrollar el área de seguridad de la información, que asistida por los registros de los dispositivos tecnológicos, deben darle las pautas para armar el rompecabezas que ilustre el umbral vigente que motiva o limita la inevitabilidad de la falla.
La coherencia o “capacidad para coordinar la estabilidad y agudeza en niveles diferentes. (…)” es decir, la forma de afinar y advertir los diferentes matices que se pudieron haber pasado luego de hacer tanto el ejercicio de focalización, como el de análisis de relaciones. “El objetivo de la coherencia es coordinar la atención colectiva de personas, unidades y funciones” que permita compartir “diversas interpretaciones” para reducir “la confusión, identificar indicios o alertas importantes y entender lo que realmente sucede en el entorno más amplio”.
En seguridad de la información, la aplicación de la coherencia, deberá ser una capacidad propia del equipo de seguridad  y particularmente de su líder, el cual deberá combinar las tres dimensiones de tal forma que pueda anticipar los movimiento asimétricos de las fallas, o más bien, preparar sus movimientos de manera anticipada para que la evidencia identificada entre su ejercicio de estabilidad y agudeza, le permita actuar de manera consistente y no errática frente a las situaciones de crisis.
En este sentido, se hace necesario empoderar a los analistas de seguridad y fortalecer sus competencias en estos elementos concretos, para que advirtiendo situaciones que puedan comprometer la protección de la información, tengan la capacidad y la autoridad para enfrentarlo y resolverlo a tiempo.
De otra parte y complementario con lo anterior, anota Rerup, que “actuar demasiado rápido limita la oportunidad de beneficiarse de la información que sólo se revela con el paso del tiempo. (…)”, por tanto, se requiere incorporar la vista de un tercero independiente, que conociendo del negocio y experimentado en la práctica de la seguridad de la información, pueda captar una mejor vista de los eventos y aumentar la comprensión del cuadro general del momento, aun cuando se desconozca que sucederá.
Así las cosas y como quiera que la función de seguridad de la información se moviliza por umbrales de riesgos residuales, requiere constantemente ampliar su radar de acción, es decir, es necesario que escuche constantemente el ambiente, recoja información de sus grupos de interés para reformular continuamente su entendimiento de la protección de la información.
En consecuencia con lo anterior, deberá mantener una lenguaje propositivo con la alta gerencia, a pesar de las críticas permanentes que tiene frente a eventos desafortunados que ocurren en la práctica general de su función, que no son otra cosas que señales que deben ser analizadas en el cuadro general de comprensión de los umbrales definidos y así continuar recomponiendo los patrones y amenazas emergentes que dictan los hechos y datos compilados.
Reflexiones finalesRevisar la tendencias y reportes de diferentes proveedores y analistas, es una tarea que cada participante del área de seguridad de la información debe realizar, como quiera que no hacerlo, es impactar de manera decidida el esfuerzo de revelar los pasos silenciosos de la inevitabilidad de la falla. Si bien estos reportes no son determinantes a la hora de tomar acciones definitivas, si alimentan el modelo general, de aquello que define, parafraseando a Montgomery “el por qué existe la función de seguridad de la información, lo que hace diferente o mejor que otros, así como la configuración única de actividades y recursos alrededor que permite cumplir con la promesa de valor”.
Conquistar el reto de la protección de la información pasa por el descubrimiento de las motivaciones y comportamientos humanos frente a la protección de la información, que descubren algunas facetas propias de las personas, su historia, percepciones y experiencias, las cuales son fuente de análisis y reflexión que movilizan las acciones del equipo de seguridad de la organización para construir y fortalecer una cultura de aseguramiento ajustada con las expectativas, creencias y contextos de una organización en particular.
Así mismo, exige mantener un equilibrio dinámico en el entendimiento de los flujos de información, las necesidades de las áreas y los procesos de la empresa, que en un contexto de competencia, “es capaz de replantearse su estrategia, antes que el futuro la asalte” (HAMEL 2012, pág.115), esto es, anticiparse a los riesgos emergentes, mientras desarrolla y asegura su operación de manera confiable, aún sabiendo que no conocemos lo que puede ocurrir.
Finalmente y no menos importante, tenemos los avances tecnológicos y las medidas técnicas de protección, que complementan el cuadro del estratega de la seguridad. Dicho avances, deben afinar el instinto natural de proyección y análisis de patrones del área de seguridad de la información, para “abrazar intensamente el presente, sin un superávit de futuro que genere angustia e intranquilidad” (ALVAREZ DE MON  2013, pág.19) en la alta gerencia.
Conciliar estos tres aspectos, en el ejercicio de la estrategia y de la visualización previa de las amenazas emergentes, exige de los profesionales de la seguridad de la información, una dosis importante de creatividad, de desaprendizaje, la cual inicia con un trabajo disciplinado, analítico y planificado, para luego dejar que “los huecos o situaciones no explicadas” fruto de las reflexiones formales, permitan que afloren espontáneamente propuestas que los liberen de sus propias auto-restricciones, para pensar nuevamente con pasión e iniciativa sobre la inevitabilidad falla, aumentando su sensibilidad y conocimiento del riesgo, que no es otra cosa que su habilidad de convivir con la incertidumbre.
ReferenciasALVAREZ DE MON, A. (2009) Incertidumbre, hábitat natural del directivo. IESEInsight. No.1. Segundo trimestre.CANO, J. (2013) Inseguridad de la información. Una visión estratégica. Editorial Alfaomega. HAMEL, G. (2012) Lo que importa ahora. Cómo triunfar en un mundo de cambios implacables, competencia feroz e innovación sin barreras. Editorial NormaMONTGOMERY, C. (2012) El estratega. Conviértete en el líder que tu negocio necesita. Harvard Business School. Editorial Aguilar.RERUP, C. (2013) Active sus sensores ante lo inesperado. IESEInsight. No.15. Cuarto trimestre.SIMONIS, D. (2013) A new approach to security success. ISSA Journal. April. Pp 10-15

Indian food, we meet again

Dom, 04/07/2013 - 01:25

In 2005 I had the opportunity to travel to India as a speaker for the II World Forum on Free Knowledge.

It was a long flight (which I loved) with Lufthansa and Jet Airways to Frankfurt, then Delhi, Mumbai and finally Thiruvananthapuram in Kerala. I met with great people such as Marco Ciurcina, Anand Babu, Sasikumar, Aarti Sethi, as well as the staples, Juan Carlos Gentile and the Venezuelan team, etc. By the way, I think this is the only evidence of that event.

But I digress. This is a post about food.

I was way too young back then (just became 18) to actually care much about the deep roots of the Kerala cuisine and what I had there. It was very spicy, though, at a level that blacked out all other sensations. I recall I brought back to Venezuela different types of masala, and my dad (which has always been a foodie, and all about herbs and spices) was incredibly happy. I really liked the culture around the IT and I was amazed by everything I saw. But I never really digged into Indian food, and never had it back in Latin America.

This weekend I had the opportunity to visit Kastoori in Seattle. Well, not an opportunity per se, we really planned it. We researched a bit about the westernized Indian food and the options and we decided to take a late Saturday lunch there. We parked in 1st Ave, which seems to be a test of financial strength (I paid more for the parking than for the food) and a block away I could really start smelling the place. It smelled delicious.

And it tasted delicious, as well! They had their lunch buffet running (even though it was late) and we decided to sample from there. We had chicken tandoori, chicken tikka masala, spicy blackened chicken, basmati rice, lots of veggies and greens with tamarind chutney, dal soup and an amazing naan. We really liked it!

The tikka was great, especially with the naan. Tandoori had a flavor we never expected. All the vegetables were really savory. Dal soup was good although a bit heavy, and basmati rice makes a great side but it tends to overflavor other things with fragrance.

It was really a bargain, at about $10 per person, all you can eat. We left the fish and other things for our next visit, and we are now committed to start considering naan in our flatbread consumption. It was a great moment that took me back to our conference dinners, the hospitality from our hosts and an unforgettable trip to India.


Thinkpad X230 and Secure Boot

Mié, 03/27/2013 - 19:10

I needed to boot a Debian Live USB stick on a new Lenovo Thinkpad X230, preinstalled with Windows 8 Professional, and with Secure Boot enabled.

This laptop did not have USB boot preset in the Boot Menu so I had to enter BIOS to add USB as a boot option.

While I was there, I disabled Secure Boot and changed UEFI/Legacy Boot method to “Both”.

The options were easily at hand, and it was not difficult to change them. Nobody asked me for a key, password or any other thing. I would have needed to go into BIOS anyways because USB HDD was not a boot option in the first place.

F10 to save, the laptop rebooted, F12 for the boot menu, selected USB HDD and voila.


From Posterous to WordPress.com

Lun, 03/18/2013 - 23:53

I started blogging in 2003 or so, and used several platforms for it. I can recall Blurty, LiveJournal and Blogger, then Movable Type and others when I was hosted in the Venezuelan QTPD. I then moved to WordPress in my own servers, but I started doing heavy lifting in the servers which made blog maintenance really difficult.

That’s why I consulted with Lou, studied some public platforms and chose Posterous. I really liked it, but shortly after I joined it they announced the acquisition and stopped solving some serious bugs, such as the ones related with rich text and formatting when posting via e-mail, which I use a lot.

Finally, some weeks ago I downloaded my backups, hacked them so the non-ASCII characters would show up, moved to WordPress.com and upgraded.

Endut, Hoch Hech!