Hoy día particularmente recibi varios llamados,correos, chats, etc. de consulta sobre la operación Andes Libres y la amenaza a Telefónica.
Es bien curioso como la gente se pone atenta cuando estas cosas llegan a los medios de prensa y entonces quieren hacer lo que nunca hicieron : ponerse en posición de defensa.
Como le respondi a una persona, no hay nada nuevo atras de estos ataques, las tecnicas usadas son las mismas de hace años y las vulnerabilidades son las de siempre. Entonces, el mantener seguros los activos de información no debería ser una cuestión circunstancial sino una postura continua.
Podría violar acuerdos de confidencialidad y divulgar todas las oportunidades en que contratados por entidades del gobierno para servicios de ethical hacking, hemos conseguido penetrar sus redes, pero, prefiero apuntar a quienes se erigen como representantes/miembros de Anonymous aca : http://www.piratasdelared.com/
Ayer me tome un momento para comprobar como podían haber violado la seguridad de un Ministerio local y es increíble como existían por lo menos 6 puntos de ataque sencillos. Eso demuestra que no estan seguros y los sitios que han adicionado luego lo corroboran.
Hoy veo que sale el Jefe de la ONGEI, Jaime Honores, a señalar que las entidades del gobierno se encuentran preparadas para el ataque. Este señor no solo demuestra ser un ignorante en esta materia sino que, ademas, demuestra como colocan personas sin capacidad para dirigir los destinos de la informática en el gobierno.
El seguramente cree que propiciar eventos de charlas y correrle herramientas automatizadas "con el apoyo de la empresa privada" es gestionar adecuadamente la seguridad de la información y seguridad informática. Claro, podrían decir que también existe un PeCERT, pero, saben que solo es un nombre y no es tangible.
También vi un "blogger" que salia a decir que Anonymous carecia de orden y organización y que los ataques no iban contra la data, que vea el site de Piratas de la Red pues. Otro neofito.
Para que servirá todo esto ? La verdad, servirá para que las entidades del gobierno compren mas hardware y software que ni saben que hace, pero, que si genera revenue para todos. También, contratarán consultorías con "empresas globales" y les pedirán que les hagan hackeos éticos, eso si : el personal debe ser ingeniero colegiado y tener certificaciones de seguridad de la información, no importa que no sepan ni un poco de hacking.
Resultado :falsa sensacion de seguridad, victimas voluntarias.
Es importante que se sepa que estos temas no atañen solo a tecnológos mas o menos capaces sino a temas de legislación. El otro día un amigo me pregunta : cuantos C|EH que sean ingenieros colegiados conoces ? Mi respuesta fue CERO y su pregunta era reflexiva porque el sabe la respuesta. Entonces, por que se pide esto : porque el Reglamente de Contrataciones y Adquisiciones del Estado Peruano indica que para labores de ingeniería, el personal debe ser titulado y colegiado.
De cerca de 16 C|EH en Perú, ninguno es ingeniero colegiado.
Eso requiere un cambio para poder tener organizaciones que se evaluen correctamente por personal adecuado.
En medio de todo esto hay actitudes hipócritas como las de los que se pelean por email y rajan de los demás, pero, en la foto siempre salen juntos y sonriendo. Y, también, hay actitudes valientes y honestas como la que vi hoy día de parte de un amigo (no diré su nombre por privacidad, pero, para darle una pista a el : MC) : rechazo participar en un proceso de contratacion de ethical hacking para una entidad del Estado porque analizó y determinó que el requerimiento estaba mal planteado y ello iba en contra de la calidad de servicio que merece una organización de nuestro país.
Quisiera no opinar sobre cosas como estas y seguir unicamente con temas técnicos, pero, lamentablemente, el medio que nos rodea debe limpiarse de hipócritas y gente interesada unicamente en llenarse los bolsillos a partir del tema de seguridad de la información y seguridad informática.
6 comments:
Bien dicho! :)
Estamos 100% de acuerdo....
Tu sabes dónde trabajo, desde cuándo y cómo lo hago (buehhh...) Ahora me piden título. Yo pregunté, para cuáles de las tareas que desempeño no estoy calificado por no ser ingeniero y no me supieron contestar. No será solamente un complejo de los directivos contra los técnicos?
Trato de entender que esta exigencia para ingenieros y titulos tiene algun fondo real y que no se gobierna por excepciones.
Por ejemplo, la exigencia de ingenieros se desprende en el mencionado Reglamento de la seccion de Obras y en ese ambito, la unica forma de garantizar las obras de construccion y civiles es validando que los responsables hayan culminado satisfactoriamente sus estudios.
Sin embargo, deberian definir exactamente en que tipo de labores se debe exigir y en cuales no.
La exigencia de la colegiatura es algo que no me parece relevante para la gran mayoría de labores.
El requerir titulos universitarios estro tema aparte porque a los ingenieros los preparan para gestionar y existen labores que corresponden especificamente al ambito tecnico.
Incluso, el pagar menos por el servicio de un tecnico es discutible. Algunos dicen que "el ingeniero se quemo las pestañas durante 5 años!", pero, otra vez, eso seria gestionar por aquellos que se esforzaron y no son la mayoria.
Es mas, si se establecieran escalas, el tecnico deberia tener la oportunidad de alcanzar niveles mejores de salario sin compararlo con el ingeniero.
Un ejemplo en nuestro rubro : un tecnico que estudio una carrera de 3 años y siguio estudios posteriores que le han permitido alcanzar certificaciones como CISSP, Auditor Leader, CISM, CISA, C|EH, GPEN, CPTE y PMP deberia ganar muchisimo mas que un Ingeniero Titulado y Colegiado.
Sin embargo, hay al menos 2 empresas que tienen oficina en Perú que se aferran a eso de "ingeniero titulado y con colegiatura vigente" porque no cumplen con certificaciones y experiencia.
Al cliente ni le importa e incluso ponen unas personas en las propuestas y el servicio lo hacen otras.
Hoy recibi dos terminos de referencia de 2 entidades publicas :
1. No pedian nada para los consultores, no daban la cantidad aproximada de equipos a evaluar, pero, tenian la capacidad para definir que el servicio se haga en 21 dias.
2. Piden cosas aproximadamente coherentes, pero, exigen que las certificaciones de seguridad no tengan una antiguedad mayor a 3 años y que sean vigentes. Osea, los que nos certificamos hace años perdimos asi organizaciones como EC Council, ISC2, GIAC y otras nos avalen por haber cumplido con sus requisitos de certificacion continua.
3. Piden, como muchos, certificaciones tipo CISSP, CISM, Security+ para labores de hacking. Seguro que para labores de InfoSec piden C|EH, GPEN, CPTE, OSCP, C|HFI !!!
Nuevamente, quien deberia gestionar estos temas es la ONGEI, pero, sabemos que no lo haran porque realmente no lo comprenden y no les interesa comprenderlo.
Es como cuando se evade el tema de la seguridad en nuestro pais y la forma desordenada, sin estrategia y no planificada con la que se esta manejando.
Otro ejemplo : los terminos de referencia que he recibido deberian estar estandarizados porque se trata de Ministerios y Superintendencias. Los detalles diferentes se pueden atender en los Factores de Evaluacion.
Como le dije al CSO de un ministerio una vez : en que evento de venta de productos de seguridad te dijeron eso ?
Ojala que el nuevo gobierno consiga gente capaz que hay mucha y gestionen estos temas como corresponde.
Hola como me puedo contactar contigo?
necesito un hacker para que haga un trabajito pero uno de verdad!, no timadores.
muchas gracias
mariapia A.
mariapia1220@hotmail.com
cualquier contacto porfavor lo agradeceria mucho
Maria Pia, solamente realizamos actividades de hacking etico. Si lo que requieres esta dentro de ese enfoque, por favor, confirmanos tu requerimiento a info@open-sec.com.
Gracias,
Post a Comment