Opinión – IT y algo más

Redes Neuronales Artificiales y Big Data

Actualmente en la universidad estamos dando el tema de la Redes Neuronales Autónomas, algo apasionante, sencillo y a la vez increíblemente complicado de desarrollar con precisión.

Pero, lo que queda muy claro, es que cualquier Big Data real, hoy en día sería muy difícil de explotar sin esta técnica de aprendizaje automático.

Y por qué es así, bueno, digamos que si analizamos la situación de los datos y si queremos aprender y predecir cuales son los resultados antes de que se produzcan deberemos conjugar los datos con el análisis de datos, pero claro, si hablamos de unos pocos datos podríamos utilizar técnicas mas convencionales, pero claro, si queremos manejar la cantidad de datos que actualmente somos capaces de almacenar y con ello dar un resultado, las técnicas tradicionales ya no son suficientes.

Al combinar las entradas de datos y generar un perceptrón multicapa nos dará como resultado lo que estamos buscando, a mayor cantidad de datos, mayor precisión lograremos, ya que nuestro proceso de aprendizaje será mayor, mejor y más fiable.

Os recomiendo ver los vídeos de Javier Garcia, ya que ayudan a comprender muy bien el funcionamiento, deducir poco a poco los pasos que hay que dar y al final, entender las posibilidades de lo que hoy en día llamamos «inteligencia artificial» que no es más que comprender nuestras costumbre para proporcionarnos automáticamente una respuesta fácil.

https://www.youtube.com/watch?v=jaEIv_E29sk

Esto no se si es bueno, ya que dejamos de pensar por nosotros mismos para que piense algo por nosotros 😉

Una de las conclusiones que he sacado, es que sin una cantidad de datos suficientes, todos los modelos de Redes Neuronales sería poco precisos, y cuanto más datos mucho mejor, así que la pregunta es clara ¿sería efectiva una Red Neuronal sin Big Data? Como no soy un experto os lo dejo en el aire, pero desde mi punto de vista diría que no.

Por el contrarío, ¿seríamos capaces de analizar los datos sin una red neuronal? creo que ya he me repito, pero diría que no.

Así que inevitablemente vemos como estos dos mundos se han unido y será muy difícil separar lo que la necesidad de análisis juntó 😉

Otro día intentaré explicar los conceptos de «Machine Learning y Deep Learning» ya que conviven con todo lo que os he escrito hoy.

Por cierto, ¿veremos ataques informáticos con Redes Neuronales Artificiales? yo creo que sí, esté artículo es muy interesante, ya que como siempre el hombre busca lo bueno y lo malo, y en este caso lo malo ha llegado

https://elpais.com/tecnologia/2018/06/12/actualidad/1528817496_395569.html

RGPD y la seguridad informática ¿la mejora?

Estos días por distintas causas he estado ayudando a algunos compañeros a aclarar un poco la implicación del RGPD que llegará el día 25 de mayo.

Pero lo más curioso es que sigo viendo artículos que solo relacionan el RGPD con los sistemas TI única y exclusivamente, y aunque si que están muy relacionados, no solo abordan estos entornos, sino cualquier entorno que contenga datos, digamos un listado en papel o una pizarra escrita con tiza que publique datos y por supuesto un cartel de publicidad.

Como la mayoría de la gente sabe, uno de los cambios más importantes, o por lo menos así lo veo yo, es el cambio de seguridad pasiva, que es lo mismo que decir «hasta que no me suceda nada no tengo que hacer nada», a ser una norma pro-activa, o lo que es lo mismo decir «tengo que estar preparado por si me sucede algo»

He leído post y comentarios en varias redes sociales que comentaban que esta norma no ayudaría a la seguridad informática, y yo estoy en total desacuerdo con ello, puede que inicialmente la gente no sea consciente de los problemas que pueden llegar a tener si son denunciados con la nueva normativa, y como es típico en casi todo el mundo, hasta que no haya un caso sonado, las empresas no se darán cuenta y empezarán a actuar, pero yo creo que si que puede ayudar mucho a mejorar los servicios y seguridad IT esta normativa (ya que la mayor fuga de datos está claro que puede venir de estos entornos) así como la organización de una empresa, y me explico.

Si partimos de la base, que el RGPD esta en gran medida basado en la normativa

ISO 27001 que es la que aplica a la Seguridad de la Información, creo que es una buena base para empezar a trabajar y mejorar la seguridad y los procedimientos.

Con el RGPD las empresas tienen que tener catalogada su información, dónde esta, que uso se hace de ella y que haremos en caso de un incidente, algo que, en la mayoría de los casos, a día de hoy no son conscientes, quizás el dónde si, pero el resto …….

Si ya tenemos el dónde y el uso, podremos ser conscientes de las necesidades de aplicar seguridad a los datos, ya que al menos tendremos un estudio de su nivel de confidencialidad, así podremos determinar si tenemos que aplicar más medidas de seguridad a estos datos.

También deberemos tener por escrito un pequeño documento donde describamos que protocolo vamos a seguir en caso de un incidente, y esto de nuevo nos puede llevar a determinar como hago las copias de seguridad, dónde las hago, cómo las puedo recuperar y dónde las guardo, y claro esta, las famosas 72 horas que tenemos para comunicar el incidente una vez seamos conscientes del fallo.

Por último, y excluyendo a las empresas de tamaño grande que ya se especifica que deberán realizar una evaluación de riesgos siguiendo alguna metodología adecuada, digamos por ejemplo MAGERIT, las pequeñas-medianas empresas (si no me equivoco son las menores de 250 trabajadores) al menos se deberán preguntar estas cuestiones

¿Se tratan datos sensibles?
¿Se incluyen datos de una gran cantidad de personas?
¿Incluye el tratamiento la elaboración de perfiles?
¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo
tipo big data?
¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?

Si alguna contestación es positiva, yo les recomendaría contactar con una persona especializada para evaluar sus riesgos, y aunque no sea obligado, sería bueno que designen a una persona como responsable o encargado para la gestión del riesgo.

Para terminar decir que las medidas que se estaban aplicando con la LOPD pueden ser validas, pero se deberá realizar una evaluación del impacto sobre la protección de datos con el nuevo esquema RGPD para comprobar que sigan siendo validad y cumplan con la nueva normativa ¿lo realizarán las empresas?

Sinceramente, creo que esta normativa mejora lo que había.

Un saludo a todos.

Facebook for president!!!!!

Hoy hemos estado en un curso sobre RGPD, donde se indicaban algunas novedades que han cambiado y las mejoras que se aplicarán a partir del día 25 de mayo de 2018.

Pero inevitablemente hemos acabado hablando sobre Facebook, todos han empezado a comentar las posible multas o sanciones que puede sufrir esta empresa, incluso alguno ha comentado que esto podría ser la muerte de Facebook, vamos, desde mi punto de vista no creo que esto vaya a ser el final de la corporación Facebook, solo un problema en el camino.

Pero yo ha planteado algo que otros se han quedado pensando y os lo expongo aquí, una persona como Mark Zuckerberg con la cantidad de información que maneja de todos los usuarios ¿podría ser el nuevo presidente de cualquier país realizando estudios de necesidades o inquietudes de la gente?

Si algo nos ha enseñado este caso, es que hoy más que nunca los datos son la nueva fiebre del oro, que con ellos vamos a ser capaces de influir sobre la gente y que la capacidad que tienen las redes sociales para generar noticias, no voy a decir que falsas, pero si manipuladas, para que nos decantemos hacia un lado u otro es real y creíble, y esto último es lo más relevante.

Por ello, el público en general, deberíamos ser mucho más conscientes de la capacidad de procesamiento y extracción de datos que actualmente manejan las grandes corporaciones y la efectividad que se está consiguiendo.

Un saludo.

Y mis datos ¿qué pasa si están en Cataluña?

Todos los españoles estamos viendo y sufriendo por la situación actual que hay en España, vemos todos los titulares de las empresas que mueven sus sedes sociales desde Cataluña a España, esto implica seguir ante el paraguas de la UE de cara a que sean tratadas con todas las garantías legales, pero sus centros de datos siguen en Cataluña.

Entiendo que mover sus centros de datos es un proceso complejo, pero mi pregunta viene aquí ¿si Cataluña se va de la UE que pasa con los datos que se utilizan desde las empresas que no se han trasladado? ¿y las que se han trasladado y sus centros de datos no? ¿nos encontraríamos con una ilegalidad según la LOPD?

Buenos pues yo creo que si, y esto ¿qué implicaría?, pues mucho, quizás no nos demos cuenta pero es un peligro.

Hoy hemos visto como se ha publicado el erro de seguridad en el tratamiento de datos de lo era el censo del supuesto referendum y ahora miles de ciudadanos tienen sus datos a disposición de cualquiera.

https://www.xataka.com/seguridad/los-datos-de-los-votantes-en-el-referendum-catalan-en-riesgo-cualquiera-puede-hackearlos

https://elpais.com/tecnologia/2017/10/05/actualidad/1507196018_140173.html

Pero, y si las empresas que estén fuera de la UE venden tus datos ¿qué pasaría? Púes nada, ya que no se encuentran dentro del ordenamiento jurídico de la UE.

Por ello creo muy importante sopesar las consecuencias de que los datos estén fuera de un ordenamiento jurídico reglado y controlado y no solo preocuparnos por el traslado de las sedes sociales.

Espero que al final todo llegue a ser solo una incertidumbre y se soluciones como siempre se ha tenido que solucionar, HABLAR, COMUNICARSE Y ACORDAR.

Un saludo a todos.

El engaño de cloud o el error de cálculo del cliente

Desde ya hace mucho tiempo llevamos predicando todos las virtudes de cloud, seguridad, movilidad, escalabilidad y todo lo que termine en «lidad»

La verdad es que siempre suena muy bien, luego vamos al análisis de los costes y preguntas a la fuente, ya sea Microsoft, Google, etc y te marcan unos números que en principio son incontestables, pero luego la realidad cambia drásticamente por varios factores.

El fundamental error es que no medimos lo que utilizamos y así es difícil saber lo que nos van a facturar, ¿cuanta capacidad de proceso estas utilizando actualmente? en muchos casos esto es imposible de medir ya que te planteas implantar un servicio nuevo, con lo que solo puedes suponer, en otros casos te olvidad de medirlo y llegan más tarde las sorpresas.

Pero no solo hay que medir la capacidad de proceso, ¿cuanto tráfico generamos? uff, estamos en el mismo caso de antes, si es nuevo el sistema no podemos medir, pero si ya lo tenemos y nos podemos a analizar el tráfico que generamos nos podemos llevar una gran sorpresa del tráfico generado, porque, al estar en una red local casi pasa desapercibido al no haber congestión en la red ni en el servidor, que aunque viejo, nos sigue dando un buen servicio.

Lo que casi todos saben o miden es el espacio necesario o que están utilizando, curiosamente suele ser lo que menor coste tiene, pero también hay que tenerlo en cuenta claro.

Con estos parámetros podríamos elegir una mejor opción o al menos saber unos costes mucho más cercanos a lo que nos van a facturar, pero aún queda una pequeña «cosilla» más a evaluar.

Las licencias, la mayoría de los servicios en cloud te ofrecen la licencia, te la cobran poco a poco claro, pero ¿qué pasa con la licencia que has ido pagando cuando dejas de usar el servicio cloud por algún motivo? Pues nada, simplemente no tienes nada.

Cuando instalas algo en local, pagas tu licencia y luego decides si pagas los mantenimientos correspondientes o no, pero siempre tienes tu licencia, o al menos en una gran variedad de productos, así que puedes asumir problemas de seguridad porque no tienes soporte, pero puede ser que sea una aplicación «no crítica» y por ello lo decidas.

Con estos factores, ya que seguro que se os ocurren algunos más, podrás tomar la decisión de si un sistema en cloud, con capacidad para ser escalable en todos los aspectos, con las actualizaciones última versión del sistema o producto es lo que tu empresa necesita.

Lo que cada día me queda más claro, es que los beneficios de las grandes corporaciones vienen cada vez más por la parte de los servicios cloud y este modelo de negocio y menos por el licenciamiento de productos, así que seamos conscientes de los costes y necesidades.

Un saludo a todos

PD: El tema de seguridad si queréis lo abordamos otro día, hoy no tocaba 😉 y si, me esta tocando evaluar un proyecto para instalarlo en cloud o no

Explotación en una auditoría

Después de una larga temporada sin poder escribir por motivos laborales y de formación, volvemos a la carga.

Una de las partes más delicadas siempre en una auditoria es la parte de explotación, y no digo que sea más importante que el resto, solo digo que es delicada, por tema de datos o accesos claro está.

En la parte de explotación tenemos que comprobar que todos los procedimientos que tenga la empresa establecido para los pase de otros entornos (pre-producción generalmente) a producción se cumplan.

Por ello es muy importante comprobar las aprobaciones de los pases, si se cumplen y quien las autoriza, la procesa y las comprueba.

Del mismo modo hay que volver a comprobar los accesos, por ejemplo a los logs de una base de datos, ¿quién tiene acceso? ¿se pueden modificar? ¿quién puede modificar los logs?

También se debería comprobar que los procesos hagan lo que dicen que hacen, bien siguiendo la pista de principio a fin, o a la inversa.

Si existe una normativa en la empresa de programación, hay que comprobar que todo lo que se suba a producción este normalizado (nunca he conseguido revisar esta parte y encontrarla bien, los programadores, y me incluyo, nos saltamos todo de todo, y eso que programo muy poco jajajaja)

A mí, me vuelve a gustar el tema de copias de seguridad y si existen pruebas de restauración , ya que sigue siendo algo delicado, al igual que los procedimientos de las copias y donde se guardan.

Accesos a servidores, datos, etc, todo lo suelo repasar, en gran parte como si sería de sistemas.

No quiero terminar sin lanzar una pregunta, en unaempresa que se dedica al desarrollo para terceros ¿que consideramos producción? He discutido con algunos compañeros del tema y cada uno tiene una opinión.

Desde mi punto de vista, su entorno de producción es la pre-producción del cliente, pero claro, es solo una apreciación y que me gustaría que quizás auditores más avanzados nos lo puedan aclarar.

Espero que nos vemos pronto por estas líneas de nuevo.

Un saludo.

Te pillé !!!!!! localizado todo el día

Estos días sale a la luz la nueva actualización de whatsapp y su localización en tiempo real. Esto es algo novedoso que se puede convertir en un arma de doble filo, sobre todo para aquella personas que sean espiadas sin su consentimiento.

Aún no esta claro como va a funcionar, lo mostrado hasta ahora es que la persona será la que determine quien va a poder compartir su ubicación en tiempo real a un contacto, ver que contactos están cerca o tiene activada la función y ven cuando dejan de compartir su ubicación.

Esto que en principio parece algo ideal para que una persona que te esta buscando sepa donde localizarte se puede volver en contra de las personas, sobre todo de aquellas que no sean muy diestras con la tecnología.

Os imagináis que podría hacer un acosador que consigue acceder al móvil de su objetivo y le deja marcado «compartir ubicación»? Os parece peligroso, púes a mi si, muy peligroso e innecesario del todo. Si bien actualmente ya hay varias aplicaciones que transmiten tu ubicación y se han detectado su uso fraudulento, quizás por la dimensión de whatsapp cobra una especial preocupación por ser una de las aplicaciones más utilizadas en nuestro entrono, sobre todo, porque no va a requerir de un gran conocimiento para poder activarlo en tu terminal o en el del resto de usuarios, ni instalar nada nuevo que no tengas ya en tu terminal.

Hoy en día, nos tienen localizados desde el momento que portamos un móvil en el bolsillo, no hace mucho asistí a una demostración de como se destripa un móvil, sea cual sea el tipo, y este o no bloqueado, es indistinto, las noticias de que no se puede descifrar un móvil son bastante falsas o al menos no muy precisas. Pero lo más curioso es ver como se extraía del terminal toda la información de geo-posición y de esta forma se determinaba si había estado o no en una ubicación y se resolvían juicios a través de esta información (si podéis asistir a alguna charla de Javier Martín, experto en Informática Forense, os lo recomiendo, son muy entretenidas)

Por todo esto me da un poco de «miedo» esta nueva función que pretender aplicar a un sistema altamente utilizado en nuestro entorno, pero como siempre es solo una opinión

Y nos pasamos con la tecnología

Estos días he estado ayudando a un conocido en un problema que tenía en su empresa, realmente me sorprendió ya que conociendo su capacidad técnica no me podía creer que tuviera problemas tecnológicos en la empresa.

Así que le empece a solicitar datos, software utilizado y la finalidad de cada uno de los sistemas. Todo absolutamente todo me parecía correcto, sistemas bien instalados, configuraciones correctas, políticas de seguridad bien implementadas así que me quedaba sin recursos.

Me puse a hablar con él, y al cabo de una media hora me di cuenta de que el problema eramos nosotros, él y yo, no habíamos tenido en cuenta el factor humano, ese factor que es por el cual intentamos trabajar y mejorar nuestros sistemas, realice simplemente 3 encuestas a departamentos distintos y el resultado fue el mismo «todo es muy bonito pero no sabemos como utilizarlo» o «si, hay algo que nos han puesto»

Así que si, «NOS HEMOS PASADO CON LA TECNOLOGÍA», es duro decir esto para mi, pero muchas veces pensamos que todos tienen que seguir el paso que un departamento avanzado y con muchas ganas de IT «avanzado» y no tiene por que ser así.

Un factor clave en la implantación de un sistema es que ese sistema sea útil para los usuarios, que sea entendido por los usuarios y que los usuarios sepan para que sirve lo que se les ha implementado.

Con todos estos factores solo le he podido recomendar que realicen jornadas de formación, que analice mejor las necesidades reales de su empresa y que no instale algo para sentirse bien por tener el sistema más avanzado 😉

PD: esto no es una crítica, ya que yo soy el primero en querer tener lo último instalado, pero como buen gestor tenemos que pensar en el conjunto y no solo en la unidad.

Y el fontanero se hizo informático

Lo primero pedir disculpas a los fontaneros, grandes profesionales y esto es solo una frase echa.

Estos días estaba hablando con una empresas y sus medidas de seguridad, en la conversación estaba el tema para evaluar la criticidad de los datos, que valor tienen para la empresa y cuanto tiempo podrían estar sin funcionar sin causar un grave impacto a la empresa.

Hasta este momento todo perfecto, lo siguiente es hablar del daño corporativo de la imagen en el caso del robo de datos y las posible demandas si se llegan a publicar y aquí es donde se tuerce el tema y entra el juego el CIBERSEGURO.

Como no controlaba el tema me pongo a ello y busco información, evaluo los distintos seguros que encuentro y las coberturas que te proporcionan

Todos te proporcionan una auditoria de seguridad, obligatoria para saber en que estado tienes el sistema (¿tienes todo legal y con licencias?) y saber si tu nivel de protección es buena, de esta manera te aseguran o te rechazan, luego te solicitan instalar un software anti ramsonware ¿?¿?¿ y si choca ya con otras medidas o antivirus que tenga ya instalados en mi sistema.

Bueno digamos que aceptamos que una empresa de terceros, que nosotros no hemos evaluado ni contratado entra en mi casa, me destripa e indica los niveles de seguridad, me realiza un informe y me instalan un software, del informe sale unas deficiencias que tienes que arreglar ¿quién lo va a solucionar? supongo que lo siguiente es que la empresa que ha realizado la auditoria a distancia me ofrezca el servicio para garantizar que el seguro que hemos contratado nos cubra, porque si no hacemos nada el seguro alegará que no hemos implementado las medidas necesarias para que no se produzcan los problemas.

Por último leo que te recuperan los datos, y aquí si que ya dije, no puede ser, te prometen recuperar tus datos, supongo que será pagando, porque si te secuestran los datos con un ramsonware te piden un rescate, y todos sabemos que pagar es delito y que los cuerpos de seguridad del estado recomiendan no pagar, entonces ¿cómo van a recuperar los datos?

Al final he contactado con dos compañías de seguros, no con un mediador, directamente con la compañía, y en ambos casos lo que alegan es que es un seguro de responsabilidad civil, vamos que de CIBERSEGURIDAD poco y que cubre algo que un seguro de responsabilidad civil normal no cubre, y lo más curioso, una compañía me ha admitido que lo han diseñado copiando las coberturas de la competencia pero que no entendía mucho del tema.

Una vez más me sorprende el nivel de intromisión y la falta de profesionalidad que te encuentras en el camino, de aquí el título, como se decía en mi pueblo «ZAPATERO A TUS ZAPATOS»

No podía irme sin la imagen del fontanero más famoso y con el que he pasado muchas horas, un gran saludo SUPER MARIO BROS 😉

Y ahora el cloud se muere

Ayer mi amigo Álvaro se hacía eco de la caída de los servicios en S3 de Amazon, y a la poca información que había nos preguntábamos si se había producido un ataque DDos, pues bien, parece que no, que fue una mala gestión en la modificación, vamos lo que viene a ser un fallo humano

https://aws.amazon.com/es/message/41926/?utm_source=mixx.io&utm_medium=mixx_io

Cuando Álvaro y yo empezamos ha trabajar con la virtualización de servicios estábamos encantados, cuando a estos servicios les podíamos añadir más recursos sin tener que parar las máquinas fue un gran descanso, podíamos reforzar los servicios a demanda, no teníamos que tener sobredimensionada una máquina que tenía un servicio que solo se utilizaba un par de días al mes.

Y apareció el concepto de «CLOUD COMPUTING», y todos, absolutamente todo el mundo que aparecía para ofrecernos un productos o servicios utilizaba la palabra «cloud», y nos preguntábamos ¿qué diferencia hay entre un hosting y un servicio cloud a parte de poder añadir recursos?

Esta pregunta nos la hacíamos Álvaro y yo mismo, y claro discutíamos sobre el concepto. La mayoría de la gente asocia el hosting al servicio web, pero esta claro que podemos tener hosting de servidores y servicios, e incluso tener un hosting de un servidor dedicado donde podamos virtualizar servicios y gestionar los recursos que asignamos a cada servicio de nuestro servidor dedicado en hosting, vaya el mismo concepto de «cloud»

Pero el problema a no es el concepto, sino el servicio, todas las empresas que venden el servicio te garantiza un nivel de disponibilidad del 99% o superior, y dependiendo del proveedor, pero con el 99% te pueden dejar sin servicio casi 4 días completos y cumplen con lo establecido. Ahora viene cuando te cuentan que el servicio es redundante y que en caso de caída de un centro, tiene otro centro que asumirá el servicio y tendrás un pequeño corte pero nada más, ya te quedas tranquilo.

Ahora la última pregunta, se cae un datacenter que da servicio a 100 empresas y mueves todo a tu otro datacenter que daba servicio a otras 100 empresas, con lo que ahora un solo datacenter da servicio a 200 empresas y ¿estaba tan sobredimensionado el datacenter para asumir todos los servicios de golpe? Pues normalmente al principio seguro que sí, pero según fueron creciendo los servicios los inversores quiere recuperar la inversión realizada y nunca se piensa en un failover total.

Con la entrada en escena de OiT creo que viviremos más casos de este tipo, realmente espero equivocarme, pero sea por DDos o por errores humanos, la centralización en puntos de estos servicios nos volverán a dar problemas.

Así que Álvaro, tendremos que volver a diseñar los servicios y realizar las pruebas de resistencia como hacíamos antes 😉 así que a trabajar