lunes, 7 de julio de 2008

Marcus Ranum en ISF 2008.


Hoy lunes 7 de julio y mañana martes se lleva a cabo el InfoSecurity Forum 2008 en el Sheraton de Reforma. En este evento se ofrece un ciclo de conferencias con reconocidas personalidades. A lo largo de estos días les compartiré lo que a mi juicio fue lo más interesante de las pláticas y también subiré algunas fotos. Estas últimas las subiré a partir del miércoles ya que en estos momentos no tengo manera de pasarlas a la computadora. La estrella de este evento fue Marcus Ranum, sin duda reconocido experto en el área de seguridad de la información. Con él iniciaron estas conferencias y aquí les expongo algunos puntos de interés:

* Uno de los mayores retos es exponer los temas y preocupaciones de seguridad a los altos ejecutivos; es un deber poder transmitir lo que nosotros sabemos a la alta dirección de manera que nos entiendan.

* En los últimos años se ha invertido más en seguridad pero al mismo tiempo los ataques se han incrementado (hay más equipos comprometidos que antaño). Esto responde a diversos factores como el auge de Internet. No podemos dejar de invertir en seguridad o tendremos un problema aún mayor.

* Marcus identifica un problema con China, ya que existen muchas personas ahí con conectividad y habrá más en el futuro. Sin embargo, estos cibernautas tienen en su mayoría Windows piratas y no reciben parches de seguridad, lo que se traduce en un nivel muy bajo desde el punto de vista de seguridad; es un problema y estará peor en un futuro cercano.

* Marcus piensa que los últimos 10 años han sido poco efectivos en el área de seguridad de la información; ha habido pocos avances en general y se tienen más problemas cada vez en lugar de tener menos.

* La respuesta de los gobiernos ante la inseguridad es legislación, lo cual puede no siempre ser suficiente.

* Los practicantes de seguridad pasan ahora mucho tiempo tratando de "demostrar" su nivel de seguridad al gobierno; es decir, se invierte mucho tiempo en marcos regulatorios. La cuestión es operar para mantener la seguridad o hacer documentación (principalmente de regulación).

.* Un efecto de la regulación es que los abogados sólo desean cumplirla, sin embargo no comprenden de lo que se tratan los temas fundamentales de seguridad.

* Los ataques dedicados (targeted attacks) son muy difíciles de detener y muchas son las organizaciones que no resistirían un ataque de este tipo.

* De lo más importante que propone Marcus es que el paradigma de protección debe de cambiar de manera generalizada: no más protecciones basadas en lo que no debe ejecutarse, sino protecciones basadas en listas de programas de lo que se puede ejecutar. Es decir, firewalls personales que sólo permitan lo "correcto" o benigno y no más antivirus que se basan en firmas de lo que se considera peligroso. Estos esquemas son necesarios ya en equipos caseros y corporativos.

* Windows Vista no resolverá el problema de la seguridad por nosotros, no es "la solución". Debemos conocerlo y administrarlo de manera correcta; es decir, tomar una actitud proactiva y no esperar que se nos resuelvan los problemas "mágicamente" o trasladando la responsabilidad de la seguridad al fabricante.

* Marucs es escéptico con los programas que previenen fuga de datos (data leakage). Aunque el problema es real, es difícil prevenir la fuga de datos y en especial sólo usando medios tecnológicos.

* Debemos de tener en cuenta que la seguridad de la información es un área "nueva" que tiene unos 20 ó 30 años de existencia; antes no se tenía un "problema" como tal de seguridad.

* Otro punto importante que dijo Marcus es que se deben mantener los datos personales y corporativos separados: las personas cada vez con más frecuencia usan los dispositivos corporativos para uso personal y viceversa. Se tienen datos corporativos y personales en un mismo ambiente. Si los usuarios respetan este división, se tendrán menos problemas de seguridad.

Ya una vez que acabó la conferencia y que me saqué la debida foto con Marcus, le pregunté sobre el problema de la banca en línea y lo que pueden hacer las instituciones para que sus clientes hagan transacciones seguras. En primera, me dijo que él no hace banca en línea por ser inseguro. Segundo, me comentó que no identificaba una solución efectiva para el problema. Interesante respuesta.

Por demás interesante fue lo que comentó Marcus en su plática y me pareció muy ilustrativa. Ya les seguiré compartiendo los puntos importantes del resto de las conferencias, que por cierto no todas fueron igual de interesantes y al menos hubo una (ya sabrán cuál) que de plano estuvo fatal y sentí que me trataban como principiante. En fin.