miércoles, noviembre 07, 2012

Ahora es el momento para la Certificación de Gestión de Proyectos


Los administradores de tecnologías han argumentado durante décadas sobre el valor de las certificaciones profesionales, a menudo se cita el hecho de que superestrellas de la TI como Michael Dell y Paul Allen, nunca terminaron la universidad. Sin embargo, la presión de competir en un mercado global ha empujado a la certificación PMP hacia el centro de la atención. La certificación PMP asegura de que todos los jefes de proyecto que obtienen la certificación hablan el mismo idioma y comparten los mismos objetivos. A medida que la economía global emerge de la recesión, los reclutadores de una variedad de industrias anticipan una fuerte demanda para los directores de proyectos certificados – lo que ahora es un momento ideal para completar el entrenamiento formal de jefe de proyecto.

La certificación PMP agrega valor a las Carreras Profesionales de Gestión

Una encuesta de salarios en el 2009 realizada por el Instituto de Administración de Proyectos demuestra el instinto de muchos reclutadores corporativos. Los jefes de proyecto sin certificaciones reportaron un salario medio de 91,000 dólares, independientemente de la experiencia. Sin embargo, la mayoría de los directores de proyectos que tienen certificaciones de gestión de proyectos de entre cinco a diez años reportaron ganancias de más de $108,000. Incluso los profesionales que tenían de uno a cinco años de experiencia y la certificación PMP puede ganar más de $ 100,000.
Mientras que algunos aspirantes a directores de proyectos pueden sentirse contentos al conformarse con un ingreso ligeramente menor, los reclutadores de la industria sugieren que la certificación PMP no puede ser opcional por mucho tiempo. En una entrevista, Steve DelGrosso de IBM, identificó una tendencia de las grandes empresas que exigen la certificación PMP de los vendedores. DelGrosso dijo, “si usted no puede presentar un director de proyecto certificado en su acuerdo, no se tiene en cuenta.”

Competencias fundamentales de la certificación en administración de proyectos

Según el Instituto de Gestión de Proyectos, los gestores de proyecto eficaces deben desarrollar habilidades relacionadas con cada uno de los seis procesos que se superponen:
  • Iniciación
  • Planificación
  • Ejecución
  • Seguimiento
  • Control de
  • Clausura
Los exámenes de la certificación PMP prueban las habilidades demandadas en las seis competencias, así como “la responsabilidad profesional y social”. El proceso de certificación PMP exige a los solicitantes verificar tanto sus horas de clase y su experiencia, en el puesto de trabajo bajo la supervisión de un tutor certificado.
Algunas empresas están haciendo formal la capacitación de director de proyectos como una pieza clave de sus programas de desarrollo de talentos. En una entrevista con el CIO de Sun National Bank, Angelo Valetta hizo hincapié en que la formación interna aumenta la moral del equipo asegurando al mismo tiempo un grupo más fuerte de talento interno. ”O bien pagas a alguien para reclutar o bien puedes pagar la educación y de desarrollo de liderazgo”, dijo Valeta a Kristen Lamoreaux, agregando que “cuando se desarrolla un empleado interno, se tiene a alguien que entienda su cultura y su negocio”.

A través de la capacitación en Administración de Proyectos

Debido a los cambios regulares del examen de certificación PMP, incluso a los expertos les resulta difícil medir el porcentaje de estudiantes que aprueban el examen cada año. Hasta la metodología del examen que ha cambiado en 2006, muchos profesionales de la administración de proyectos estiman que alrededor de tres de cada cinco que tomaron el examen lograron una calificación de aprobado. Sin embargo, muchos tutores del examen de certificación de administración de proyectos notan que el umbral para obtener la certificación PMP se ha hecho más fácil desde que el examen tiene una relación más directa con guía publicada Project Management Body of Knowledge (PMBOK).
Como resultado, los cursos de entrenamiento de administración de proyectos se dividen en dos grandes categorías: programas de preparación para el examen que sobre todo enseñan la prueba, y programas integrales de desarrollo profesional que ayudan a los profesionales aspirantes a aprovechar el PMBOK como un conjunto de herramientas para el cambio organizacional. En el artículo GanttHead en la comunidad PMP en línea, Andrew Makar comparte su propia experiencia de la preparación para la certificación. Él escribe: “Con todo, tomo de 8 a 10 semanas de estudio diligente antes de sentirme comoda en la sala de estar para el examen. La principal ventaja era que realmente entiendes el contenido del PMBOK v/s estudiarlo para pasar el examen”. A medida que el mercado de trabajo para jefes de proyecto se calienta, la inversión en formación para administrador de proyectos ya puede preparar a los profesionales que aspiran a aumentos salariales significativos en el futuro.

martes, noviembre 06, 2012

Seguridad en servidores SMTP

Tomado de: Seguridad SMTP

1. CORREO ELECTRÓNICO

Hoy en día, todas las empresas tienen su propio servidor de correo electrónico, basado en el anticuado e inseguro protocolo SMTP. Básicamente, lo que pasa cuando mandas un mail desde tu cuenta de correo, origen@origen.es, hasta una cuenta de destino, destino@destino.es, es lo siguiente:
  • Tu agente de correo local envía el mail a tu servidor de correo saliente.
  • El servidor de correo saliente busca el MX (servidor de correo) del dominio al que mandas el mail.
  • Tu servidor de correo se conecta al puerto 25/TCP del MX de destino y le transmite los datos.
Por supuesto, dado que siempre nuestros empresas van a tener un servidor de correo, éste va a ser un buen punto para empezar con el tema de la seguridad.

2. SMTP NO VERIFICA EL ORIGEN DEL MAIL

Si bien es cierto que existen mecanismos más que suficientes para verificar el origen y la integridad de un correo electrónico, también es cierto que no están implementadas en la práctica. Raro es que alguien use criptografía en su correo electrónico, incluídos directivos de la empresa y personal de seguridad informática. Raro es también que se intente verificar el origen del mail, pese a la existencia de los SPF records y a la posibilidad de verificar que quien manda un mail desde eduardo@miempresa.es realmente lo hace desde la IP de un servidor de correo de miempresa.es.
Sí, es raro.
El SMTP permite por tanto declarar como origen del mail LO QUE NOS DE LA GANA. Y esta es una de sus grandes “debilidades”.
3. ESTABLECIENDO UNA SESIÓN DE CORREO VÍA TELNET

Lo primero será averiguar cuál es el servidor de correo de nuestro objetivo, para ello ejecutamos dig @80.58.0.33 destino.es mx, que pide el servidor MX (mail) del dominio destino.es al dns de telefónica 80.58.0.33.
Ahora podemos hacer lo mismo que hace nuestro servidor de correo haciendo telnet al puerto 25 del MX de destino. Enviar un mail “a mano” es tan sencillo como esto:

Como podéis ver, hemos establecido una sesión de telnet al puerto 25 y hemos hecho uso de los comandos del protocolo SMTP para enviar nuestro mail. Del mismo modo, podríamos enviar un mail con un documento adjunto o cualquier otra cosa. La ventaja de hacer esto así, es que nos permite verificar que ciertos comandos han sido deshabilitados … o no …
4. VULNERABILIDADES COMUNES

  1. Lo primero que miramos es el banner del servidor de correo, que usamos para ver si existe alguna vulnerabilidad publicada … Si es así, ya sabes qué tienes que hacer. Lo normal es que el banner haya sido modificado, pero en el caso de que el servidor sea sendmail esto requiere recompilar el código, con lo que es posible que no lo hayan cambiado. En lugar de ver el banner, también podemos usar amap (http://freeworld.thc.org/thc-amap/) o nmap, como sigue: amap -sT -d -b -o amap.out 192.168.1.100 25
  1. Ahora miramos es si el servidor de correo es un open relay. Es decir, si permite enviar mails a otros destinos que no sean de su dominio. Para ello, simplemente nos conectamos por telnet y vemos el resultado de meterle en “RCPT TO” una dirección de gmail o cualquier otra cosa.
  1. Después, vemos si los comandos “vrfy” y “expn” están habilitados. No deberían, ya que el primero puede usarse para verificar si existe un mail dado, lo cual permite sacar todos los usuarios de correo por fuerza bruta, y el segundo “expande” una dirección de mail, ofreciendo valiosa información sobre el destinatario. Debería de darnos un error.
  1. Ahora, intentamos ver si entra un mail con “FROM:” de la propia empresa. Si es así, es posible que lo que enviemos desde una dirección falsa de la propia empresa no sea escaneado por el filtro antivirus/antispam.
  1. Otra prueba que podemos hacer es enviar un virus como documento adjunto en un rar cifrado. Los filtros antivirus tienen un tiempo máximo asignado a escanear los adjuntos. Intentan descifrarlo y si no pueden ponen el archivo en cuarentena. Si este tiempo no está bien puesto, podemos tirar el servidor mail mandando un montón de pequeños .rar. Un DOS simple y efectivo, que es fácil que funcione.
  1. Y seguimos con nuestros intentos … ¿tienen puesto un tamaño máximo para los adjuntos? Compruébalo. Mándales un pedazo de adjunto de 30Mb, a ver qué pasa …
  1. Ahora, intentaremos algo que suele ser bastante efectivo: vamos a comprobar si existen direcciones de correo genéricas para toda la empresa, a lo mejor está definido como alias algo tipo “empleados”, “todos”, “empresa”, “sistemas”, “comunicaciones”, “rrhh”, … Haz una lista e intenta a ver si llegan. Si es así, podemos mandarles SPAM o ficheros adjuntos pesados hasta aburrirnos.
  1. Y también podemos recopilar direcciones de correo usadas por la empresa … Ya sabes, google …. Además, si hemos conseguido enumerar direcciones de correo de la empresa podemos hacerlas públicas (posteándolas en cualquier foro de rusia o ucrania, por poner un ejemplo) para que reciban abundante SPAM.
Por cierto, cuando haces un “dig” para preguntar cuáles son los servidores de correo de una empresa … cuida al de menor prioridad. Es posible que esté mal configurado o desactualizado. Algunos administradores declaran un servidor falso, que no existe pese a estar declarado en el DNS (esto es posible, ver el RFC correspondiente) para despistar a los spammers.
5. CONCLUSIÓN.

El correo electrónico es uno de los posibles puntos débiles de la empresa. En este artículo, hemos visto unos cuantos posibles ataques al protocolo SMTP, totalmente basados en el funcionamiento del protocolo y configuraciones incorrectas, que pueden ser llevados a cabo facilmente de forma anónima y de los que debemos estas prevenidos.