Friday, March 12, 2010

Unas palabras sobre SEGURINFO 2010


Durante el día de ayer por la tarde visite SEGURINFO 2010 exposición de seguridad informática, auspiciada por USUARIA.

Esta fue la séptima edición de dicho evento, orientado principalmente a los niveles gerenciales y de toma de decisiones.

Realizada en los salones de exposiciones del hotel Sheraton, fueron dos dias de conferencias, con la presencia de muchas de las empresas que brindan servicios de consultoria, hardware dedicado a la seguridad y proveedores de soluciones.


SEGURINFO es el complemento ideal para las conferencias Ekoparty, ya que brinda una visión orientada mas a la gerencia de riesgos.

Lamentablemente no pude asistir a muchas conferencias por problemas laborales, el programa era inmenso, ya que habia cuatro salones con diferentes exposiciones en simultaneo.

Los disertantes pertenecían a grandes empresas, organismos del estado y proveedores de soluciones de seguridad.

En los stands de exposiciones, tenia una presencia importante INTEL, ESET, SYMANTEC, NEOSECURE, TELMEX, CYBESEC, MICROSOFT y luego habia stands mas pequeños con promotoras que se destacaban por sus Tetabytes de informacion.

La empresa PANDA tenia una enfermera que prometía "vacunarte el Pendrive", no tengo fotos porque realmente luego no podría dar explicaciones de que fui a un evento de seguridad, lo mismo que las promotoras de BlueCoat que estaban vestidas de policías. Creo que ambos stands tenían record de visitas.


En mi caso, dado el poco tiempo que tuve opte por dos conferencias, la primera

Concientización, un caso de éxito hecho con humor, fue dada por Pedro ADAMOVIC , Gerente - Banco ITAU .

Pedro mostró como fue evolucionando el trabajo de promoción de la seguridad informática entre los usuarios del banco.

En el año 2009, se realizo una campaña apoyada por ITAU Brasil, sede de la empresa, la cual estuvo basada ( segun entiendo )en un patron standard de campañas que se realiza en Brasil.

  • Creación de un "logo" que referencie la SI.
  • Utilización de actores para visitar los pisos y hablar de la "campaña"
  • Entrega de cartillas a los usuarios con información de la política de SI.
  • Entrega de merchadissing por parte de la Gcia de SI. ( por ej. Mouse Pad )
  • Implementacion de salvapantallas con información de la campaña.
  • Carteles de concientizacion.
  • Conferencias.

Esta mismo tipo de campaña se implemento en Sao Paulo, en el año 2005 en la empresa en la cual trabaje. Esto fue a raíz de la implementacion de una política de seguridad corporativa.

Este es un ejemplo de un fondo de pantalla de la campaña de concientizacion, junto con el logo que creo la gente de marketing.



Luego de esta charla muy interesante, me dirigir a la conferencia Aspectos legales de la Seguridad Informática , con los panelistas: Daniel ALTMARK, UBA - Marcos SALT, UBA - Horacio GRANERO, UCA y luego la presencia de Pablo Palazzi, un abogado especialista en derecho informático y otro abogado que lamentablemente no recuerdo el nombre.

Realmente me interesa mucho el tema, se hablo de la ley de Habeas Data, Firma Digital y la nueva Ley de Delitos Informáticos.

Sobre esta ultima ley, se aclaro que aun falta que la justicia prepare a todos sus integrantes para entender la seguridad informática, la ley sola no basta.
En un momento de la conferencia, se dio como ejemplo el caso de un juez que estaba junto a un perito accediendo a los datos de una empresa en la cual se habia cometido fraude. Mientras el juez accedia a un server el perito le comunica que este equipo se encontraba en el extrajero, por lo que el juez se detuvo y dijo que debia pedir un exorto a ese pais.

Dado que los fallos quedan a consideracion de los jueces, estos pueden tener diferentes interpretaciones.

Para muchos el delito lo juzga, en el lugar donde se encuentran los datos de la victima. ( Recuerdan este caso ? )

Dado que nuestro pais protege los emails de la misma forma que la correspondencia privada, realice una pregunta.

Que ocurre si alguien en Argentina accede a los emails de una persona que tiene una cuenta en Hotmail, lo que hace que los servidores se encuentren en su totalidad en EEUU.

Quien debe juzgar esto ? Y si el acusado lo realiza mediante un equipo que se encuentra en un tercer país ?

La conclusión es que aun hay mucho para avanzar en materia de jurisprudencia, si bien Pablo Palazzi dio a entender que igual se puede juzgar aqui al acusado.


También visite los stands de la conferencia, por la tarde del viernes Intel realizo una puesta en escena impresionante, con actores y modelos.

Eset también tenia un stand muy lindo, allí me acerque para preguntar si no consideraban un fracaso que ellos una empresa dedicada a la SI con un producto tan bueno como NOD32, fuesen victimas de piratería de sus productos.
Me contestaron que están trabajando en eso.

Tambien visite el stand de Penta representante de Pitbull que tiene dos productos muy interesantes para empresas con Help Desk tercerizados o con equipos de sistemas grandes.

El primer producto AccountReset permite al usuario resetear la contraseña, sin necesidad de llamar al HelpDesk, esto es mediante preguntas y respuestas.
El otro producto es KeyHolder que permite acceder a cuentas con privilegios elevados en sistemas críticos sin necesidad de tener las señas en sobres guardados. El usuario tiene un perfil con los diferentes accesos y antes de poder ingresar debe llenar un log con los motivos del acceso.

Otro stand al que fui fue el de DATCO que tenia una solución de cámaras de vigilancia de alta resolución IndigoVision. Realice una serie de preguntas, como si la información entre las camaras y la base se encontraba encriptada, a lo cual la respuesta fue si.
Pero lo que no se encuentra encriptado es la administración de las camaras, es decir que si se hace sniffing entre la camara y el administrador se puede obtener ( segun imagino ) los privilegios de acceso.

Tambien estuve en el panel de una representante de MODULO, la empresa brasilena de GRC en la cual tome el curso de Security Officer.
Pregunte por el dictado del mismo en Argentina, pero solo lo hacen si el numero de participantes es tal que permite traer a gente de Brasil.


De todos los papeles que me dieron, lo mejor y que espero comentar en otro post es el libro : Normas Internacionales y Nacionales vinculadas a la Seguridad de la Información.

Para finalizar, recomiendo nuevamente este evento como complemento a eventos mas under como es Ekoparty, aqui podemos aprender la vision de la seguridad informatica por parte de las grandes corporaciones.

Ahhhhh no tengo fotos de las promotoras...pero eran parecidas a estas :


3 comments:

. said...

Dedicate a la seguridad, porque para blogger te faltan fotos. según las estadísticas, 1 teta = 200 visitas

Julio Jaime said...

Si querés ver fotos de las promotoras de Intel, pedime que las publico.

Porque llegaste al blog, buscando eso no ?

Search Engine Phrase 'segurinfo 2010 promotoras de intel'

Anonymous said...

Muy interesante tu comentario sobre la gente de Datco al comentar sobre IndigoVision, te cuento que yo uso esos equipos en el laburo y estoy seguro que nada está encriptado y el video lo podés ver directamente con VLC, y haciendo sniffing podés copiar claves para acceder a todos los parámetros de cámara o encoder. Peor es que con una copia del software accedes a todo sin restricciones de perfiles. Para un principiante.