En posts anteriores he hablado de la ética en la seguridad informática e incluso hice un post sobre el ethical hacking. La ética nos habla sobre lo que es aceptado por la sociedad en base a convenciones morales. La ética nos muestra un camino sobre el como comportarnos de acuerdo a nuestra sociedad. En este post hablaré sobre las responsabilidades legales en seguridad informática, más allá de los códigos de ética y las normas de comportamiento. Las responsabilidades legales surgen a partir del deber de buscar reparar un daño causado o un incumplimiento de algo previamente acordado e involucran a las autoridades gubernamentales como procuradoras de justicia y medios de vigilancia para el cumplimiento de las responsabilidades legales. 

Ante el crecimiento que ha tenido internet en las últimas decadas y la gran cantidad de información que es generada, surgió la necesidad de legislar sobre el comportamiento que debemos de seguir en el manejo de sistemas de información. Para hablar en un marco más amplio y en lo que es internacionalmente aceptado, me referiré a los Delitos Informáticos que son reconocidos por la Organización de las Naciones Unidas (ONU).

La ONU en el documento United Nations Manual on the Prevention and Control of Computer-related Crime reconoce como como delitos informáticas las siguientes conductas: 

1. Fraude cometido por manipulación de computadoras.
2. Falsificación Informática
3. Daños o modificaciones a programas e información de computadora. 
4. Acceso no autorizado a sistemas y servicios informáticos. 
5. Reproducción no autorizada de programas de computadora legamente protegidos. 

Legislar en materia de cibercrimen ha traído grandes retos para los gobiernos como la recolección de datos de sistemas informáticos, la reforma a las leyes, obligaciones de cooperación entre distintas agencias, problemas con datos personales y la validez de la evidencia generada por una computadora. Estos retos son problemas con los Continue reading "Responsabilidades Legales en Seguridad Informática." →

Recientemente he leído en varios sitios sobre el término Ethical Hacking y he visto que en Guadalajara el concepto comienza a ser popular entre las comunidades de personas que asisten a eventos relacionados con tecnología y emprendimiento. Tras darme cuenta de esto y al continuar avanzando con el contenido en mi curso de seguridad informática, me decidí a escribir un post breve sobre que es el Ethical Hacking.

El EC-Council define al Certified Ethical Hacker como...

A Certified Ethical Hacker is a skilled professional who understands and knows how to look for weaknesses and vulnerabilities in target systems and uses the same knowledge and tools as a malicious hacker, but in a lawful and legitimate manner to assess the security posture of a target system(s).

De la definición llama la atención el hecho de que el Ethical Hacker utiliza los mismos conocimientos que un hacker malicioso pero de manera responsable y legítima para comprobar la securidad de distintos sistemas. El EC-Council pone la frase "To beat a hacker, you need to think like a hacker" para referise a sus programas de entrenamiento de Ethical Hacking. 

El hacking ético buscar ser legal y es realizado con permiso de quien es atacado con la intención de que vulnerabilidades sean descubiertas para que los sistemas puedan asegurarse de una mejor manera. El hacking ético tiene una gran relación con el acrónimo ACI que describí brevemente en un post previo, siendo estos elementos Availability, Confidenciality e Integrity. La motivación tras el hacking ético es buscar vulnerar sistemas para poder mejorarlos y garantizar siempre los elementos del acrónimo ACI. 

El EC-Council ofrece un programa de entrenetamiento para una certificación de Ethical Hacking, El curso busca desarrollar un mindset de hacker para que quienes tomen el certificado desarrollen la mentalidad necesaria que los Continue reading "Ethical Hacking." →

Computer security is a topic that recently has been given a lot to talk about. A lot of people usually thinks that computer security is something that should concerned only geeks or people in the technology industry but computer security is actually a matter that should be taken very seriously by everyone including corporations and the governement. 

But why should we be concerned about computer security? We should be concerned about it because of the big amount of data that is uploaded to the internet everyday. Some examples of sensitive information that we upload the internnet are our SSNs, bank accounts, telephone numbers, our location, IDs, etc. If for some reason, this information gets into the wrong hands people can use our bank accounts or use our identities and misuse it. 

PCMag defines computer security as "The protection of data, networks and computing power. The protection of data (information security) is the most important. The protection of networks is important to prevent loss of server resources as well as to protect the network from being used for illegal purposes. The protection of computing power is relevant only to expensive machines such as large supercomputers." 

The definition written above can give us a basic idea of the big effort that is put into the task of securing computer systems. Is a process that goes from protecting the data itself (with encryption for example) to protecting the data packets that flow through a network and assuring the availabity of the systems that store ifnormations. 

Sadly, hackers can exploit computer systems and get access to data they should not have to. Hackers accesing to private information and realeasing on the internet has been a common situation discussed on the news during the last few years. One example of this, Continue reading "Why Should We Study Computer Security." →