KISS en informática


No voy a hablar precisamente de la banda de rock KISS, pero si de un principio que sería una especie de especificación de la Navaja de Ockham que dice que:

“La explicación más sencilla suele ser la correcta”

Ahora esto trasladado al mundo de la informática se conoce como el Principio KISS, donde el termino es un acrónimo de la frase:

Keep ISimple, Stupid!” (Mantenlo simple, estúpido!)

haciendo referencia a un proceso de desarrollo sencillo y comprensible sin buscar caminos complicados y enredados. Hoy vemos de todo un poco, valdría aplicar mas esta frase.

Las 6 peores ideas sobre seguridad informática


Buscando algo totalmente distinto en la web me tope con éste artículo el cual me llamo la atención y en el que se mencionan las seis peores ideas sobre la seguridad informática, es algo extenso ya que está dividido en tres partes pero se los recomiendo para que lo lean así despues ven si comparten o no mi opinión al respecto.

  • Permitir por defecto

Algo verdaderamente cierto y que hacen que en un sistema aumente el riesgo de intrusiones, como bien lo menciona el artículo los sistemas basados en “Permitir por defecto” son el equivalente en seguridad informática a las calorías vacías: sabrosas y a la vez engordan. Es algo que hoy en día se ve muy seguido en las tecnologías mas usadas como son sistemas operativos, cuentas de correo, telefonos celulares y muchas mas y que en cierta forma se propago esta forma con el objetivo de reducir trabajos repetitivos y dejar las cosas listas apenas empezemos a usarlas. Lo contrario a esto es el “Denegar por defecto” lo cual comparto en que lleva mas tiempo y dedicación pero nos aseguramos gran parte de la integridad y seguridad de un sistema.

  • Cuantificar los males

Se plantea que “cuantificar los males” es una mala idea ya que día a día surgen en la red nuevas amenazas de todo tipo lo que hace que en los últimos tiempos los sistemas tengan que restringir el acceso a mas de 70000 aplicaciones maliciosas y permitir a solo unas cuantas aplicaciones legitimas poder ejecutarse, listar los males una técnica que viene de hace años, por el contrario una buena idea que se propone es “cuantificar el bien” y permitir la ejecución de solo ciertas aplicaciones en el sistema algo complicado de realizar como bien se menciona en el artículo.

  • Penetrar y parchear

Como bien lo menciona el artículo penetrar y parchear en terminos generales sería atacar tu firewall, software, sitio web, sistema operativo o lo que sea desde fuera, identificas un fallo en él, lo corriges y luego vuelves a buscar. Es obvio que un sistema no puede ser mantenido todo el tiempo a base de parches que corrigen ciertas vulnerabilidades pero si creo que es una técnica que ayuda a testear los sistemas frente a las nuevas amenzas que van surgiendo, si supieramos cuales son las amenzas que surgiran con el tiempo seguro que prescindiremos de éstas técnicas, pero ningún sistema es perfecto.

  • Hackear es Guay

Con esto se plantea que el hecho de que hackear es un problema social. No es en absoluto un problema tecnológico. “Las personas tímidas podrían volverse criminales” y que el anonimato y la libertad de no enfrentarse directamente a su víctima han incrementado emocionalmente las posibilidades de cometer un crimen lo cual es una verdad, lo que no comparto de esta idea es que aprender cómo usar un montón de exploits y cómo usarlos signifique una perdida de tiempo ya que con el tiempo las técnicas van a estar defasadas, no comparto que las técnicas sean totalmente defasadas, de los errores se aprende y nuevas técnicas de ataque mas complejas surgen cada día que para poder comprenderlas debemos entender por decirlo las mas básicas, y para aprender a diseñar sistemas seguros primero se comienza aprendiendo de los errores y de las técnicas que hicieron que un sistema falle así que si trabajamos en el ámbito de la seguridad informatica invertir en eso no creo que sea una perdida de tiempo.

  • Educar a los usuarios

Mas allá de que estudios indiquen que un gran porcentaje de los usuarios intercambiarían su contraseña por caramelos considero que gran parte de la integridad y seguridad de un sistema y una organización pasa por la educación y mas en los ultimos años ya que los usuarios del sistema son los puntos mas vulnerables de acceso. Y con esto vuelvo al punto anterior, con el paso del tiempo van surgiendo nuevas forma de ataques que requieren un estudio y una conscientización general en una organización a través del medio que sea, y en fin eso es estar educando.

  • La acción es mejor que la inacción

Se plantea que los ejecutivos de TI parecen estar divididos en 2 categorías: los “adoptadores tempranos” y los “pausados y pensativos” y se comenta un ejemplo donde un director de TI evito gastar una importante suma de dinero en una tecnología que no aprovecharía todo gracias a estar informado. Con esto obtenemos que es mejor estar bien informado antes de dar un paso importante en una organización y ver cuales serían los beneficios si adoptamos cierta tecnología, todo esto sin volvernos loco por adoptarlas apenas estan en el mercado ni tampoco esperar mucho tiempo esperando mejorias en ésta. Creo que educando a los usuarios y demás cargos jerarquicos en una organización se puede llevar a buen puerto la frase “A menudo es más fácil no hacer algo estúpido que hacer algo inteligente”.

Ustedes que opinan sobre estas ideas?