InfoSecMan Blog

Como habréis notado por la falta de presencia en este medio, estos días he estado bastante ocupado.

Entre otras cosas, he tenido la oportunidad de asistir a la II Jornada de ISMS Forum en la que además de disfrutar de alguna ponencia muy interesante como la de Bruce Schneier o la de Enrique Polanco, Director de Seguridad Corporativa del grupo PRISA, también tuve oportunidad de conocer personalmente a buenos amigos como Vicente Aceituno o de saludar a otros amigos como Agustín López de ISO27000.es.

El evento estuvo bien organizado y en él tuvimos oportunidad de asistir a algunas reflexiones bastante interesantes y a frases que merecieron mi atención.

A modo de “collage”, os incluyo algunas frases y conceptos mencionados que merecieron mi atención:

– Enrique Martínez, Director General de INTECO presentó los resultados de un estudio realizado por este organismo, que concluían que el 72% de los ordenadores domésticos con acceso a Internet, presentan algún tipo de código maliciosos, que el 50% alojan troyanos y que el 40% tienen adware publicitario. Cifras apabullantes y preocupantes. El resultado del estudio está accesible desde la web de Inteco.

– Bruce Schneier realizó una presentación muy bien estructurada, clara y sin apoyo visual (a un buen orador como él no le hace falta) en la que mencionó cosas como las siguientes (entre comillas “capturas textuales”):

– “La Complejidad es el Enemigo de la Seguridad”.
“La aparición de nuevas complejidades supone la aparición de nuevos riesgos”.- “La tecnología ha crecido enormemente, ha mejorado y avanzado, pero la seguridad no la ha acompañado con el mismo ritmo”.  Continuando con la misma idea, por tanto, podemos concluir que “la complejidad de la tecnología crece a mayor velocidad que la seguridad, y por tanto cada vez existen más riesgos asociados”.

– “Patching is an impossible problem” (el “parcheo” es un problema imposible). Para publicar un parche debe procederse a realizar las pruebas correspondientes con cada posible configuración del sistema. Así mismo se pretende ofrecer su disponibilidad y publicarlo lo antes posible, sin embargo estos dos objetivos son incompatibles. No queda otro remedio que elegir entre Rápido y Probado (Fast Vs Test).

– “Slower Patch Cycle”: es necesario mencionar también que hay dispositivos prácticamente imposibles de parchear (hardware por ejemplo) y por tanto es preferible desecharlo y adquirir otro nuevo.

– “Regulations drives the Security Industry”. Esto es algo que todos tenemos claro y es que el cumplimiento, las normativas y las leyes recientemente se han convertido en un motor para la industria de la seguridad que dinamiza lo que las organizaciones deben implantar. Habitualmente se llevarán a cabo proyectos porque el cumplimiento obliga, y no porque se crea que los mismos sean o no necesarios.

– “La Seguridad trata menos sobre Tecnología y más sobre el USO de la Tecnología” (algo que venimos diciendo desde aquí desde hace ya mucho tiempo…).

– “El valor de una red de comunicaciones aumenta proporcionalmente al cuadrado del número de usuarios que la utilizan” (Ley de Metcalfe)

– “Los productos y fabricantes de seguridad que sobreviven en el mercado no son necesariamente los mejores sino que habitualmente son los más baratos o fáciles de usar”. El comprador normalmente no tiene el criterio suficiente para diferenciar entre varios productos (dos firewalls por ejemplo, en cuanto a su funcionamiento como dispositivo de ese tipo serán muy difíciles de distinguir por un usuario medio, salvo por su apariencia, su uso, etc.), y por lo tanto se guía por señales: por la reputación de la compañía, su cuota de mercado, Gartner, revisiones en revistas, etc. Realmente no conoce la diferenciafuncional entre uno y otro producto.

– “Para mitigar los riesgos, uno debe ser responsable de ellos”.

– “Hemos enseñado y convencido a todos para tener un ordenador, pero no a mantenerlo”. Esto se traduce también en las organizaciones, no sólo en las personas, y de ahí que cada vez se hagan más necesarios (y populares) los servicios gestionados (seguridad gestionada, etc.).

– Joaquín Reyes Vallejo, Director de Sistemas de Información del Grupo CEPSA, se centró principalmente en la evolución de la tecnología y la madurez asociada con ideas como las siguientes:

– La seguridad no ha progresado a la misma velocidad que la tecnología.

–  Los procesos no han alcanzado el nivel de madurez semejante (sirva como ejemplo que según estudios publicados recientemente, sólo el 57% de las organizaciones tienen una estrategia global en su compañía). Esto es sumamente importante puesto que la madurez en los procesos disminuye el riesgo. Estos procesos son necesarios para gestionar el riesgo y generar confianza.

– Las personas y la organización de la seguridad empiezan a consolidarse, aunque aún queda un camino importante que seguir.

– Enrique Polanco, Director de Seguridad Corporativa del Grupo PRISA, nos deleitó con una charla muy interesante que supo hacer amena como buen orador que es, acercando más al público y manteniendo una actitud más cercana a la tierra (y a los oyentes) y no tan teórica u oficial como el resto del panel. Algunas perlas compartidas  en su charla:

– “Primero nos asustan y luegos nos dicen que es muy fácil solucionarlo”, pero “¿quién le pone el cascabel al gato?”

– “El problema que te roben el postit con la contraseña escrita no es que se la lleven, ¡es que después tú no la recuerdas!” 🙂

– “El personal no es una amenaza, es una vulnerabilidad”. Con formación y concienciación intentamos solventarla.

– “No es posible ponerle airbags o control de tracción a un seat 600”. Seamos realistas…

Espero que estas breves notas os hayan servido para que tengáis una pequeña idea de lo comentado ese día allí.

Después tuve la oportunidad de visitar ENISE, el I Encuentro Nacional de la Industria de la Seguridad en León, de la mano de la Comisión de Seguridad de ASIMELEC. Un evento con sus pros y contras, pero que al menos tiene de positivo que ha logrado congregar a buena parte de la industria en lo que podría ser una “foto de familia” (en el marco incomparable además del Parador Nacional de San Marcos en León).

Finalmente por temas profesionales también asistí, aunque brevemente, a las Jornadas Técnicas de RedIris que en esta ocasión se celebraron en Mieres (Asturias)… ya os imagináis cuál es la causa entonces de mi ausencia “electrónica” en este Blog.

Seguiremos informando… cuando el tiempo lo permita 😉