Crónica IV Jornada ISMS Forum Spain (mañana)

Publicado por Edgard en jueves, noviembre 13, 2008
En esta entrada y la siguiente expondremos, bajo nuestro particular criterio, los aspectos más remarcables de lo que ha sido la IV jornada del ISMS Forum Spain. Esperamos que aquellos y aquellas que no habéis podido asistir os sirva para tener una pequeña visión de los principales temas allí tratados. Sin más preámbulos empezamos .....


Llegada puntual a las 9:00 para obtener la pertinente acreditación. Mientras esperamos el inicio de la jornada tomamos un primer cafetito con pastas. Con cierto retraso, como es habitual en este tipo de actos, Gianluca D’Antonio, Presidente de ISMS Forum Spain, da la charla de bienvenida, objetivos de la jornada y presentación de los primeros ponentes.

La “estrella invitada“, Howard A. Schmidt, toma la palabra e inicia la Conferencia Inaugural. Los puntos que más nos han llamado la atención han sido:

  • Las amenazas actuales deben considerarse como un tema de seguridad nacional, concretamente, de índole financiero.
  • Iniciativa internacional IMPACT – International Multilateral Partnership Against Cyber-Terrorism.
  • Mayor relevancia de las certificaciones en seguridad (por ejemplo las de ISC2, será porqué tiene cierto vínculo con esta organización .......).
  • Se estima que a día de hoy hay unos mil millones (1.000.000.000) de dispositivos de todo tipo conectados a la red (cifra alcanzada en los últimos 25 años). En aproximadamente los próximos 5 años habrán mil millones más.
  • Como anécdota curiosa menciona que existe o está en estudio un marcapasos que tendrá conexión wifi para controlar en tiempo real su estado y poder actuar en consecuencia. Por motivos de seguridad no querría tener uno “instalado”....
  • Dar más relevancia a los aspectos positivos de la seguridad (por ejemplo buenas prácticas, iniciativas, etc.) en lugar de resaltar lo negativo (ataques, vulnerabilidades, etc.).
  • Risk Governance no es un problema exclusivo de tecnología, en todo caso de Personas+Procesos+Tecnología.
  • El phishing lleva como unos 12 años en activo. Los delincuentes dedican muchos esfuerzos ya que cada vez tiene más barreras (filtros en servidores, filtros en navegadores, filtros en gestores de correo, etc..), aún así siguen teniendo éxito.
  • Como conclusión expone que el escenario global de seguridad es como el Taj-Mahal. Está compuesto por infinidad de pequeños mosaicos, que extrapolado al escenario de la red, se pueden considerar como dispositivos individuales que están securizados individualmente.

En el turno de preguntas surgen los siguientes temas:

  • Impacto de la crisis en la seguridad: No debe reducirse la inversión en seguridad. Como principal argumento destacar que posteriormente costará mucho más alcanzar los niveles correctos.
  • Seguridad en internet: Comenta que la migración de IPv4 a IPv6 debe realizarse en un máximo de 2 años (temas de seguridad y carencia de direcciones IP).

Tras la Conferencia Inaugural se celebra una mesa redonda con distintos participantes. Esto fue lo más relevante:

Juan Miguel Velasco (Telefónica)

a) Desde el SOC de Telefónica se monitoriza el tráfico de la red y de correo electrónico. Desde este observatorio privilegiado de todo lo que acontece nos aporta datos interesantes. Para empezar algunas cifras al respecto:

  • Total correos 2004: 700.000.000
  • Total correos 2008 (septiembre): 5.000.000.000
  • El 96% en 2008 y un 98% en 2007 corresponde a malware en general (virus, spyware, spam, etc.)
  • El phishing en España se ha duplicado en 2008.
  • El phishing en UK se ha multiplicado por 10.

Este incremento en UK está motivado por una nueva normativa financiera mediante la cual se regula una modalidad de transferencias rápidas. Con anterioridad a la entrada en vigor (septiembre) se estuvieron capturando muchos datos financieros, no obstante, éstos no eran usados. En el momento en que la mencionada normativa entró en vigor se usaron de forma masiva. La moraleja es que los “malos” están al corriente de normativas, leyes, etc. y están muy bien organizados y profesionalizados.
b) Los robos de identidad van en aumento.
c) Como respuesta a una pregunta de los asistentes, relativa a aspectos de trazabilidad, se expone que hay un desfase importante entre la tecnología y la parte legal. Transcurre mucho tiempo entre el delito y la investigación del mismo. El estado de la evidencia electrónica en el mundo jurídico está todavía en un estado embrionario (falta de formación, entender que las reglas y el terreno de juego han cambiado, etc.).
d) Como curiosidad destacar que en el año 2004, a posteriori de la famosa foto de las Azores, se produjeron ataques de DoS (tráfico de 14 Gb) dirigidos a las correspondientes webs gubernamentales (Casa Blanca, Downing Street y La Moncloa).

Juan Salom (Guardia Civil)

a) Todas las amenazas externas que identifican tienen como finalidad un beneficio económico.
b) Por el momento no se han detectado ataques a infrasestructuras estratégicas (suministros, organismos públicos, etc.) similares a lo sucedido en Estonia o Georgia. Aún así, desde el Ministerio de Interior se ha creado un comité que está trabajando en como afrontar este tipo de amenazas, para estar preparados cuando sucedan ......
c) Como curiosidad del tráfico de datos comenta que el precio de una tarjeta de crédito oscila de 1 a 5 $ y un PC zombi de 5 a 20 $.
d) La inmensa mayoría de phishing y fraude e-commerce está monopolizado en los países del Este y Sudamerica.
e) Al igual que el anterior ponente en el tema de la trazabilidad se corrobora el desconocimiento del mundo de la adjudicatura de estos temas. Añade que la ley de conservación de datos de tráfico choca con el derecho a la intimidad y con el secreto de las comunicaciones.
f) Concluye que el delincuente se siente impune al no haber represalias legales frente al delito cometido (cooperación con otros países, lentitud justicia, recursos limitados, etc.).

Tras la mesa redonda y un buen desayuno, las siguientes ponencias y lo más relevante de las mismas:

Chris Kenworthy (McAfee)

a) Centrada en protección de datos (“Data Leakage”).
b) Descripción y datos de la compañía.
c) Algunos productos y utilidades de la compañía.
d) Ejemplo de “desprotección” de datos: Foto captada por la prensa de una persona del gobierno que entraba a Downing Street con un documento en la mano. En la foto se lee perfectamente información confidencial.
e) La tecnología sin políticas alrededor no sirve de nada.

Cormac Callanan (Council of Europe)

a) Muchos problemas burocráticos, de procedimientos, de idiomas, de coordinación, de entendimiento, etc. entre los departamentos de investigación de delitos informáticos de distintos países. Esto hace que la investigación de estos incidentes no sea tan efectiva como debiera.
b) En su etapa como activista contra la pornografía infantil destaca que dentro de lo malo este tema puede considerarse como un aspecto positivo. Al haber constancia en la red se tiene conocimiento de la magnitud, de la existencia y del comportamiento de los pederastas/pedófilos, aspectos que hasta su aparición en la red eran desconocidos.

Fernando Aparicio (PayPal)

a) Descripción de la pasarela de pago PayPal.
b) Remarcar la confidencialidad y privacidad de los datos financieros de los clientes.
c) Iniciativas contra el fraude en el pago electrónico (phishing).

En breve, lo acontecido durante la tarde ...................................

Etiquetas:

1 comentario:

Anónimo dijo...

Quisiera agradecer Edgar y Dani por estas generosas palabras de aprecio. Sin el apoyo de muchos profesionales de la seguridad que día a día trabajan en las organizaciones españolas, la Asociación no tendría sentido. El compromiso de la Junta Directiva y de todos los socios es con ellos.
Saludos,
Gianluca D’Antonio

20 de noviembre de 2008, 7:31

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)