Segurinfo 2018: Cuando seguridad informática y networking (humano) es lo más buscado

Una nueva edición de Segurinfo se abrió la semana pasada. La invitación decía 35, pero seguramente debían estar contando todas las segurinfos locales, regionales e internacionales, porque según mi cuenta, ésta era la edición N°13. Sería en Buenos Aires, entonces.

Superado el millar de asistentes, con varios speakers extranjeros y locales muy buenos y un público muy interesado, el encuentro de este año del Congreso y Feria Iberoamericana de Seguridad de la Información (tal su nombre completo) transcurrió el 24 de abril de este año, otra vez en el Conocido Hotel de Retiro. Utilizó algunas salas diferentes, no abundaron tanto los trajes y sí hubo mucha línea media. Algunas sesiones cosecharon fuertes, merecidos aplausos, y pocas tuvieron media platea.

Ahí les dejé el resumen. Ahora van los detalles.

 

Un poco de estadística no viene mal

Las sesiones fueron 24, repartidas en tres tracks, donde (números más o menos) disertaron representantes de 23 empresas del rubro, de ocho bancos (incluyendo uno digital), nueve reparticiones públicas nacionales y provinciales, tres universidades (nacionales y privadas) y tres fuerzas de seguridad. Los ejes fueron las actividades preventivas, la respuesta a ataques dirigidos o masivos, el control de acceso, la in/seguridad en las Nubes, la gestión de la seguridad y del riesgo, cibermonedas, resiliencia de la empresa y del área específica, caracterizaciones varias del CISO y funciones de su departamento específico, firma digital, protección de robots de software… y por si quedó algo en el tintero, acá queda el programa en la web de Usuaria.

Los tiempos adjudicados a las presentaciones eran de media hora (dos tercios) y de una hora (un tercio del total). Dos de las sesiones extensas estuvieron ocupados por paneles que atrajeron mucho público. Una fue Realidades y Preocupaciones del CISO en la nueva era digital y la otra Cambios del derecho penal a partir de las TIC – Evidencia digital y su confiabilidad. Esta última, donde los expositores eran especialistas forenses de tres fuerzas de seguridad más un perito independiente y el director de un Master en Criminología (ese era el que hacía las preguntas, nada menos) hubiera necesitado más tiempo, a juzgar por el interés de los espectadores. Otro panel, al que se adjudicó media hora, tenía integrantes de tal calidad que merecía el doble. Fue Casos de éxito en el desarrollo profesional de la mujer en el área de ciberseguridad. Las que lograron quebrar el glass ceiling se lo merecen.

 

Primero, las estrellas

La reunión se inició con la presencia de Norberto Galarraga y Cosme Belmonte, presidentes de Usuaria y del comité académico de Segurinfo, respectivamente. La primera exposición estuvo a cargo de Patricia Bullrich, ministra de Seguridad de la Nación, que se refirió a las distintas actividades preventivas y defensivas en el ámbito de la seguridad informática que realiza el personal de su ministerio. También comentó diferentes aspectos del proyecto de modificaciones al Código Penal, en el ámbito del delito perpetrado por medios informáticos, que en breve remitirá al Poder Legislativo.

Tras lo cual, como era de imaginar, Juanjo Dell’ Acqua declaró abierto el Congreso.

 

Este año no hubo un Star Speaker, sino dos. El primero, Tony Anscombe (Global Security Evangelist and Industry Ambassador – ESET) prometió Una visita al lado oscuro y demostró cómo en menos de una hora se podía obtener en la darknet las herramientas (programas) necesarias para armar una botnet y obtener beneficio económico. Delictivo, claro. Además de ese ejemplo mencionó estadísticas de malware frecuente en Argentina, explicó la importancia de las monedas virtuales y su generación por minado en máquinas parasitadas, y la formación de verdaderas empresas en una industria del malware, con productos, tácticas de comercialización y estrategias de distribución. Si quieren ver algo más de lo que se perdieron, aquí hay un resumen preparado por la empresa.

El siguiente fue Santiago Pontiroli (Security Researcher, Global Research and Analysis Team, Kaspersky Lab) que se dedicó a exponer las investigaciones de su empresa sobre Olympic Destroyer: ¿Quién hackeó los Juegos Olímpicos? Frente a la pregunta de Pontiroli sobre cuántos entre el público sabían que la ceremonia de apertura de los Juegos Olímpicos de Invierno en Corea del Sur había sufrido un ciberataque, la respuesta me entristeció: sólo unos pocos teníamos claro el tema. La clara explicación y el énfasis en el cuidadoso análisis de la empresa, que descubrió un plantado de falsa información dentro del código del malware, fueron seguidos por la insistencia en cómo debe tenerse cuidado en el tema de las atribuciones, para el caso de este tipo de ataques. ¿Más datos?  acá pude ubicar parte del análisis del malware.

 

Lo que pasó después

Otro de los oradores estrella era Gary McGraw (Vice President Security Technology, Synopsys) que prometía presentar su estudio Las Cuatro Tribus de CISOs.

No pude estar presente, pero hice los deberes.

Si no entendí mal este paper que encontré en el website de McGraw, más esta explicación de DarkReading las Tribus de CISOs serían cuatro: la primera es la de los que piensan en la seguridad como una habilitadora o facilitadora; la segunda, que es una tecnología, un instrumento; la tercera, que seguridad se refiere a cumplimiento de normas (compliance) y la cuarta, que es una generadora de costos. A McGraw parece que le gustan más las dos primeras, y su aprecio disminuye hacia la tercera y la cuarta tribu.

Detrás de la presentación del estudio sobre Las Cuatro Tribus, estaba programado que el autor debatiera públicamente con CISOs locales.

Las sesiones estaban programadas para satisfacer todos los gustos, o casi. Hasta incluyeron al teletrabajo, en El modelo TCR y la seguridad en la información, un panel con valiosos disertantes, aunque contuvo alguna presentación extensa que (creo) casi no mencionaba la seguridad.

¿Críticas? Las usuales: explicarle a los presentadores mal informados que las PowerPoint no deben contener todo el texto que el experto dirá al público, y que el disertante no debe leer impúdicamente el texto a la audiencia ya que, en general, los asistentes saben leer. Tironear las orejas de los presentadores que mencionen en exceso a su empresa o producto… Ah, y que por favor le pidan a alguien que les corrija las faltas de ortografía o prosodia en las pepeté.

¿Aciertos? Muchos. Sobre todo, incluir en los asistentes a una cantidad de personal de empresas, a los que el contacto con estos temas les ha sido muy útil. Y la selección de temas, diferentes cada año. Por lo cual no hay más remedio que volver el año que viene. No se lo pierdan.

Tony Anscombe de ESET nos invitó a ingresar al Lado Oscuro de la Fuerza

Rubén Borlenghi, el Microsaurio

Docente y periodista. Investiga ataques informáticos desde que un virus le comió una nota hace 25 años. Los verdaderos hackers le cuentan cosas.

Ver todas las entradas de Rubén Borlenghi, el Microsaurio →

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.