Segurinfo 2015 II: Si este no es el conocimiento, el conocimiento dónde está…

segurinfo(Por Rubén Borlenghi, el Microsaurio) La presentación de Andrew Lee terminó absolutamente a tiempo (después de diez años yo estaba absolutamente sorprendido) y me quedé en la sala, porque eran las diez de la mañana y comenzaba Políticas y Acciones de Ciberdefensa del Ministerio de Defensa. En el estrado estaban Sergio Rossi, jefe de gabinete del Ministerio de Defensa; el coronel César Cicerchia, del Comando Conjunto de Ciberdefensa de las Fuerzas Armadas; Fernando Corvalán y Oscar Niss, asesores de la Jefatura de Gabinete del mismo ministerio.

En una breve introducción, Sergio Rossi destacó que en nuestro país se cuenta con suficiente recurso humano para abordar el problema de la defensa, y que el ministerio ejecutó los pasos necesarios para dejar, al 10 de diciembre próximo, un esquema, un plan del sistema de Defensa. Luego dio paso a Oscar Niss, que detalló una cantidad de acciones, entre las que están la creación de la Comisión de Ciberdefensa el año pasado, el vínculo con la ONU para ejecutar recomendaciones para protección de infraestructura crítica, la formación de una unidad de coordinación de ciberdefensa con UNASUR y el contacto con el ámbito académico, las cámaras empresarias y los organismos de investigación científica. Para este año planean realizar ejercicios de ciberdefensa en UNASUR, formalizar el funcionamiento de un CERT y ofrecer una Maestría en Ciberdefensa.

Fernando Corvalán detalló una serie de pasos para la adecuación de las FF AA, ente ellos la formación de un cibercomando militar en la órbita del Estado Mayor Conjunto, la necesidad de alinear la doctrina militar con la realidad reciente, o la producción de Mindex, una distribución Linux segurizada, basada en Debian y debida a un convenio con la Universidad Nacional de Rosario. Ésta será la herramienta base de una plataforma segura para aplicaciones de escritorio, ofimática y mensajería segura cifrada al servicio del Ministerio de Defensa y las Fuerzas Armadas, con los objetivos de obtener soberanía tecnológica y el acceso al código fuente. En conjunto con NIC.AR se implementó una red de servidores seguros en gestión de continuidad, para los dominios .mil y están en marcha los proyectos de ICIC, CERT, una sala de situación y detección de ataques tipo APT, además de una implementación de Mindex para dispositivos móviles.

Continuó el coronel César Cicerchia, que mencionó una cantidad de características del cibercomando conjunto del cual es jefe. Se extendió en detallar las capacidades, servicios y operaciones en los cuales se desempeña el organismo, e indicó que para su eficaz funcionamiento, existe un factor crítico, la calidad de los recursos humanos. Se refirió extensamente a este tema, mostrando el perfil de un candidato típico en diferentes puestos de la estructura, al punto que varios presentes en la sala tomaron cuidadosa nota de lo que casi era un head hunting…

El tiempo adjudicado se cumplió, y tuve que salir disparado para ver la exposición de Iván Arce, Director del Programa de Seguridad en TIC de la Fundación Sadosky, que se dedicó a explicar Cómo evitar los 10 problemas de seguridad más frecuentes en el diseño de software. Aquí comenzó un efecto repetido cuando no había “break” entre conferencias y uno tenía que cambiar de piso, lento ascensor mediante: sala absolutamente llena, escuchar parado desde la puerta, bancarse el ruido y las conversaciones de los pasillos. Se produjo las tres veces que el programa lo generaba. Tomar nota…

Al meollo. Arce, que es un experto reconocido, mostró ejemplos de errores de diseño o de implementación que aparecen en los programas, afectando la seguridad del producto. Mencionó la creación, el año pasado, del Centro para Diseño Seguro de la Computer Society de IEEE e indicó que desde ahí querían cambiar el enfoque con que se estudian las fallas de programación, para que se traten de detectar errores de diseño más que de implementación, dado que en la actualidad es al revés. Para ejemplificar, indicó una lista de diez defectos de diseño de software más comunes (aunque comentó que originariamente tenían una lista de nueve, pero alguien indicó que mejor quedaría una de diez).
Incomodidades aparte, me fui con la idea de que los arquitectos de software (parece) ahora no se preocupan hasta que se rompe. Y gente como Arce quiere que se diseñe mejor, para que no se rompa. Ojalá tengan éxito…

Esta vez, media hora de descanso. Pasé por la exposición de la planta principal, donde encontré a los conocidos de siempre, con algunas novedades como Telefónica Digital (con su socio, el ingeniero José Manuel Alonso, como estrella invitada) o la gente de Aufiero con el AVG Bussiness Edition al hombro (canadiense incluido). Como ves, dos extremos con una amplia variedad en el medio.

Se acabó el tiempo de visitas, y pasé otra vez por el segundo piso, para escuchar la presentación de la Dirección Nacional de Protección de Datos Personales, preparada por Juan Cruz González Allonca (el director) sobre la Privacidad en el uso de Drones y Video Vigilancia. Desde el inicio quedó claro que para esta institución, si tiene una cámara de video, no importa que esté en una pared o un aeromóvil: es un dispositivo que toma imágenes, y se le aplican las generales de la ley. ¿Cuál ley? la N° 25.326 de Protección de Datos Personales que, acompañados por dos decretos y las disposiciones del órgano de control (esa Dirección Nacional que está arriba) constituyen la normativa que se aplica. En el caso específico de los drones, la Dirección Nacional trabaja con la Administración Nacional de Aviación Civil para elaborar un proyecto de disposición que regule el tema.
Ah, para los que aún no se enteraron: la imagen de una persona es un Dato Personal entre los que protege la ley sobre Datos Personales.
Según escuché, hay condiciones en que es lícito tomar imágenes de particulares a través de una cámara de video y te tendrás que aguantar. Bastará que haya a la vista un cartel que indique que hay una cámara instalada. Pero hay una cantidad de situaciones de uso en las cuales no corresponde tomar esas imágenes sin consentimiento del “dueño” del dato personal. La más simple: dentro de cualquier edificio de propiedad privada. Todo esto fue explicado con claridad y paciencia, y era interesante escuchar preguntas que indicaban la confusión del público no especializado, que confunde la necesaria denuncia ante la policía con una denuncia hecha en la Dirección Nacional, en el caso de una toma de video que se sospeche indebida. Paciencia, hay gente que con tal de quejarse…

La siguiente conferencia que me atrajo fue Seis claves legales a tener en cuenta para regular al Community Manager de una empresa, a cargo del abogado Marcelo Temperini, socio fundador de AsegurarTe. Otra vez, el tema de que una presentación termina cuando la otra, en diferente salón, empieza puntualmente… y llegás a un salón lleno.
El Dr. Temperini, con gran claridad y demostrando que ya había tenido que cuidar a más de una compañía de los errores de sus directivos, describió una cantidad de trampas escondidas en el camino de la incorporación de un Community Manager a una empresa. La cosa se inicia con un contrato. Claro, si alguien trabaja para vos, tiene que haber un contrato. ¿De qué clase?¿Qué límites y qué obligaciones tiene ese Community Manager a partir de ahora? ¿Cómo lo obligás a que proteja tu marca y la identidad de tu empresa? ¿Cómo te cubrís de los errores que esa persona pueda cometer, o de la publicación de materiales que sean ofensivos para un tercero?
¿Te acordaste de poner algo sobre la confidencialidad de la información que le das? ¿Cuándo se termina el contrato? ¿Quién es el dueño del material que se publicó? ¿Cómo se definen los gastos que se aplican a la operación de las cuentas de Facebook, Twitter o lo que sea? ¿Tenés todas las contraseñas de las cuentas? ¿Ese profesional está obligado por contrato a entregártelas en cualquier momento que lo pidas, y en caso de finalización? Si todas estas preguntas no alcanzan para amargar a más de uno, no vale.

Se hicieron las 13:30, hora programada para el almuerzo. Ya que no pertenezco a la pléyade de sangucheros mencionada por Juanjo, crucé Alem hacia el barcito enfrente de IBM, antigua parada obligada después de las clases de Java de la División Software. Ahí cargué baterías y estudié el programa de la tarde, que mostraba 18 conferencias posibles, más la presentación del Maligno,más el resumen final. Pero eso te lo cuento en próximos días.

Por momentos no cabía un alfiler...
Por momentos no cabía un alfiler…

Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Ver todas las entradas de Ricardog →

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

 

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.