¿Por Qué no Voy a Conferencias de Seguridad?

Estoy a punto de sonar soberbio, pero me arriesgaré: la razón principal por la cual no voy a la mayoría  de las conferencias de seguridad es porque ya me sé el ~85% de lo que ahí van a decir. Algunas conferencias llegan al 99%. 

Desde mi punto de vista, lo que a continuación enlisto son temas recurrentes en varias de las conferencias de seguridad. Lo dicen una y otra vez. Ya me lo sé.

Sueño con la Confidencialidad, Integridad y Disponibilidad (C-I-D) de la Información. Ya sé la relación de la C, I y D con los datos. Y por qué son conceptos importantes. Ah! También me sé la definición de la C, I y D. Pero nunca falta al menos un slide recordándome todo esto. Gracias.

La Información es  Valiosa. El expositor en sus primeros slides dirá que la información es uno de los principales activos de las organizaciones. Que hay que protegerla porque bla, bla, bla. Rayos. ¡Sí, ya sé que es valiosa, next! 

Ciberguerra. Se paran a hablar de la ciberguerra, de cómo un país puede invadir a otra nación usando TCP/IP. De cómo ya las nuevas armas vienen en paquetes vía red. Que los nuevos soldados están detrás de una computadora. Patrañas. 

El día que ataquemos a otro país usando comanditos detrás de un monitor con consecuencias graves, es muy probable que nos vayan a venir a romper la trompa con armas “tradicionales”…sí, de esas que disparan y que sacan sangre, junto con aviones de combate y navíos tipo destructor. 

Actualmente lo que estamos viendo es ciber-espionaje y otras ciber-operaciones, pero no “ciberguerra” (cyberwar). Me dan ganas de preguntarle al expositor que qué pasaría si una nación usa la ciberguerra para volar en mil pedazos a una planta nuclear de los EUA. 

Luego entonces y en todo caso, la llamada ciberguerra sería solamente OTRO mecanismo para ser usada en una guerra convencional. Tal cual lo harías envenenado el agua potable como otro medio para ganar una guerra. 

Siento ganas de vomitar cuando se paran a alertar de la “nueva” guerra, lo caduco de los soldados “convencionales” y de cómo se van a lidiar las nuevas guerras en el futuro.

Ah! Y ya sé lo que hace StuxNet y supe del ataque DDoS a Estonia hace unos años; les encanta ponerlos de ejemplo del terrible “cyberwar”, y no lo son.

Concientización de usuarios. Que no hay suficiente security awareness en las empresas. Que esto representa una amenaza constante porque a los empleados se les puede hacer phishing. 

Que los empleados le dan click a cuenta liga se les presenta y que constituyen el “eslabón más débil”. Ya lo sé. 

Y también sé la solución: hacer campañas de concientización que verdaderamente hagan llegar el mensaje al empelado, así como políticas y bla, bla, bla.

Presión de Usuarios. Que los empleados presionan por traer sus dispositivos (smartphones, Pads, etc.) a la empresa y conectarlos. Que presionan para entrar a todo tipo de sitios. Que los usuarios desean tener libertad de  instalar X aplicaciones. Y que todo esto es un problema para el área de TI. Ya me lo sé. 

Y ya saben, se ofrecen soluciones vagas a este problema: hay que tener un balance entre los deseos de los usuarios y la seguridad (bla, bla, bla) y claro, cada corporativo tendrá diferentes maneras de atacar este problema con sus usuarios. 

Y aquí entra mi frase favorita: “bueeeeno, es que DEPENDE de la situación en cada empresa y….”. 

Ya saben…”depende”. Todo es relativo. Tan útil es la palabrita “depende” que yo mismo la he llegado a usar.

Evolución del malware. Ya sé que antes el malware estaba hecho por diversión o sin fines de lucro. Y ahora el malware se hace en su mayoría para que pase desapercibido y tiene el fin de obtener una ganancia económica. 

Esa tendencia tiene varios años. Entendemos que existe malware bancario que roba credenciales de banca en línea y que existen otros trucos más cuyo fin es robar dinero o sacar un provecho económico a diferencia del malware de “antes”. ¿Algo nuevo sobre este tema?

Gobierno de Seguridad de la Información. Importante tema dentro de las corporaciones, pero neta qué tema tan aburrido para escuchar en una conferencia. Punto. Me duermo. Wake me up when you’re done!

Cómprame mis productos. No pueden faltar los que se paran a hablar y que son representantes de un producto o servicio de seguridad. Aunque oficialmente no mencionan a su producto pero tooooda la plática está orientada a que le preguntes al final que cómo se puede evitar todo lo malo de lo que está hablando. 

Y claro, la respuesta será “There’s a product for that. And you’re lucky, I sell it”.

Encuestas. Casi para cada encuesta que muestren y que indique X tendencia, existirá otra que la contradice o que arroja diferentes números. Me viene a la mente la encuesta de la mayor amenaza por cantidad de incidentes generados: empleados internos vs atacantes externos. 

He visto numerosas encuestas que confirman que las intrusiones vienen en su gran mayoría de los propios empleados y hay otras más que aseguran que los crackers que vienen de Internet representan el mayor peligro. Este tema lo toca de manera mucho más amplia el documento llamado “Sex, Lies and Cybercrime Surveys”, googléenlo.

Más ataques. Que en los años recientes se han incrementado el número de ataques informáticos. Y que la tendencia es que sigan creciendo. El conferencista en este momento muestra una gráfica con reportes de amenazas que van a la alza. 

Yo digo: es correcto, los ataques son más que antes y van a seguir creciendo. Ya lo sé. ¿Hay algo nuevo sobre este tema?

Anonymous, LulzSec y Asociados. Esto tiene liga con el punto anterior. Que los Anonymous representan un peligro que hay que considerar, que si el hacktivismo, que si la serie de hackeos sucedidos en los últimos meses, que la cantidad de datos robados, que veamos el gran número de víctimas afectadas y un largo etcétera. 

Noticias: sé quiénes son estos grupos, la serie de hackeos que han perpetrado y las técnicas usadas. Something you wanna add?

Mejores Prácticas. Nuca faltarán las palabras “mejores prácticas” en los slides del conferencista. Estándares con muchos numeritos, los del NIST, el 27001 o COBIT. 

Que hay que seguir las mejores prácticas. Porque son muy buenas. Todo mundo las sigue. Yo también debería de hacerlo, ya lo sé. Porque me darán un beneficio. Y porque son mejores y que por eso hay que seguirlas, get it? 

Ya lo estoy escuchando: “Las mejores prácticas dicen…[favor de insertar en este espacio cualquier cosa ya que como son mejores prácticas nadie las cuestionará]”. 

Tanto se repite lo de las mejores prácticas en seguridad que ya hasta a mí se me pegó y lo uso y digo. Ok, ya sé mi propósito a cumplir para el siguiente año.

La Nube. Claro, la bendita nube. Cómo olvidarla. Que la nube representa un costo menor pero que hay que tener cuidado con su seguridad. Porque la información ya no estará bajo nuestro control, pero que es una solución muy barata. 

Que hay que tener cuidado con la redacción del contrato. Que “dependerá de nosotros” irnos o no a la nube. Y que hay que considerar la (falta de) disponibilidad de los datos cuando se mandan a la nube. Ok. Todo lo anterior ya me lo sé. ¿Dirán algo nuevo esta vez?

BYOD y movilidad. Que los usuarios quieren traer su propio Smartphone contratando ellos un plan de voz y datos. Que quieren leer su correo corporativo y tener acceso a información de la empresa. Pero que hay un problema con la seguridad, porque “¡es la información de la empresa!” la que está en riesgo al estar polulando por ahí en el dispositivo personal del empleado. ¿Y qué creen? Ahí está el BYOD. 

Y el conferencista empieza a describir lo que es BYOD y cómo puede ayudar a mantener la información protegida…ya me lo sé!! De primera mano conozco proyectos de este tipo. 

Pero claro, supongo que tendré que aguantar oootra descripción de qué es el BYOD, cómo surge, qué resuelve y el papel que juega en las empresas. Bien por mí, otra siestecita.

Gestión. Hay que hacer una gestión de la seguridad de la información que obvio incluye una administración de riesgos. Y para esto hay que seguir las mejores prácticas. Porque si no lo hago soy un chico malo y demostraría mi nivel de inmadurez…bueno, la inmadurez de la seguridad en mi corporativo. 

Señores, hay que gestionar la información porque es importante y hay que hacer análisis y tratamiento de riesgos. Listo. Les acabo de ahorrar una hora de su vida que de otra manera hubieran invertido escuchando esto.

Redes sociales. Y para no dejar de lado las redes sociales, en la conferencia tocarán el tema de las redes sociales. Que los empleados pueden fugar información a propósito o accidentalmente. 

Que las ligas (sobre todo las acortadas tipo bit.ly) pueden guiar a los usuarios a sitios maliciosos. Que hay que tener una política para el uso de las redes sociales. Si hay algo diferente que quieran tratar respecto a la seguridad y redes sociales, bienvenido el tema!

Conclusión. Para mí, hay dos tipos de Conferencias de Seguridad.

a) Las que son genéricas y, b) las que son especializadas para gente que tiene ya una base y que quiere incrementar su conocimiento al recibir nuevos temas concretos y de vanguardia en seguridad de la información. 

Lo malo es que varias conferencias del primer tipo se ostentan como del segundo.

En lo personal, me aburre ir a escuchar cosas que ya sé y que se repiten incansablemente en pláticas de seguridad. Tal vez podría ir a hacer networking y aprovechar la visita, pero eso es ya otro boleto.

Nota 1: sé de primera mano que a los expositores en más de una ocasión se les “propone” el tema del cual deben hablar y no les dejan mucha libertad para elegir. Lo entiendo y tal vez yo mismo caiga en esto en el futuro. Pero mientras juegue el papel de asistente, antes de asistir no dejaré de ver el título y el “abstract” de las charlas para ver cuántas veces digo “ya me lo sé”.

Nota 2: pensándolo bien, creo que debí haber titulado este post  de otra manera: “Ya me lo sé”.