Primera Jornada de Gestión de la Identidad en la Era Digita
Es la primera actividad de la serie prevista por CXO Community. Contó con la participación de más de 120 profesionales especializados en tecnología y en seguridad empresarial.
Buenos Aires, 6 de mayo de 2008 - Organizada por CxO Community, Dixit Comunicación de Negocios, y con el apoyo del Instituto Universitario de la Policía Federal Argentina, se realizó la I Jornada de Gestión de la Identidad en la Era Digital.
Como primer encuentro de la serie temática especializada en Seguridad de la Información, la Jornada generó amplia expectativa. Se dio tratamiento a los aspectos de mayor actualidad relacionados con la gestión de la identidad a nivel corporativo: los riesgos y prevenciones ante el robo de identidad, el manejo de la información personal en redes sociales y fuentes abiertas, las amenazas vinculadas a la ingeniería social en las empresas, así como la gestión de permisos, uso de las contraseñas y el análisis forense de casos.
El encuentro fue auspiciado por las empresas Lightech, Deloitte e Identidad Robada.
En la sede del Instituto Universitario de la Policía Federal Argentina (IUPFA), Rosario 532 Capital Federal, se realizó la Primera Jornada de Gestión de la Identidad en la Era Digital. Más de 120 asistentes congregados en el Salón de las Américas, en esta jornada de día completo, pudieron apreciar de las ponencias de destacados referentes del mercado de la Seguridad Informática.
La presentaciones completas se pueden obtener desde aquí
La apertura de la jornada fue realizada por Daniel Monastersky, Abogado y CEO del sitio Identidad Robada (www.identidadrobada.com) abordando el interrogante sobre ¿Si existe una única identidad digital?
El libro “Googleame” de la filósofa Bárbara Bassin sirvió de punto de partida para que Daniel abriera una serie de problemáticas en la actual era digital en relación a como cada uno de nosotros exponemos y nos mostramos en Internet y en general en el contexto informático. Las redes sociales y los blogs fueron claros ejemplos de como nuestra identidad es distribuida por nosotros mismos sin conciencia de la apertura informativa que ello implica. Ahora bien, ¿qué hacemos para encontrar información de una persona en particular? ¡Googleamos! Daniel demostró como sitios como www.pipl.com y www.spock.com nos brindan información personal que se encuentre en el mundo digital.
El marco regulatorio de Argentina se encuentra en un proceso de madurez. La Ley de Habeas Data (Ley 25326, Decreto 1558/01 y Disposición 11/2006) sumada a la reforma del Senado (próxima a aprobarse en Diputados) sobre delitos informáticos demuestran que estamos en esta transición de tomar en serio una problemática que existe desde el año 2000. Los casos de robo de identidad no esperan a que las leyes se efectivicen. Sobre esta base se presentó el caso de la Srta. Maricela Ballatore, quién fue víctima del robo del documento de identidad y como complemento a un conjunto de información personal, se realizaron transacciones, compras y préstamos a su nombre. Actualmente se encuentra bajo la asesoría de Daniel Monastersky, a fin de recomponer su situación previa al momento de la usurpación y robo de la identidad.
Sobre la línea que ofrecen los servicios de búsqueda de Google y las facilidades del mundo Web 2.0, Ezequiel Sallis, Director de Investigación y Desarrollo de Root-Secure (www.root-secure.com) desarrolló el segundo segmento titulado “The Low Hanging Fruit” (La fruta más fácil de alcanzar).
“Lo primero que podemos ver es que las Redes Sociales, los Foros, los Juegos, las Herramientas On Line, etc… conforman los repositorios de información relacionada con la administración de identidad, más grandes e informales del mundo virtual, y por ende, mayormente una de las más descuidadas.”, comenzaba disertando Ezequiel. Asimismo complementaba: “Las consecuencias de la ejecución efectiva de las técnicas antes mencionadas, ponen en evidencia el riesgo al que expone inocentemente un usuario a su organización o a si mismo, tan solo por no interactuar de manera adecuada en el mundo WEB 2.0”. Y para que no quedaran dudas que el eslabón más débil en seguridad sigue siendo la persona, Ezequiel mostró un abanico de ejemplos que desbordaron el marco de lo imaginable en términos de información confidencial expuesta en los calendarios de Google, a saber: cambios de contraseñas, códigos de conferencias, códigos confidenciales, cambios de personal, entre otros insólitos ejemplos de información personal a disposición de cualquier persona que quisiera utilizar un buscador en Internet. Como cierre, Ezequiel Sallis nos brindó un inteligente consejo: “La efectividad de los controles técnicos, depende en gran medida de la colaboración del Usuario. Revise su plan de seguridad y vea que prioridad ocupa la educación de sus usuarios...”
Santiago Cavanna, Consultor Independiente, Vicepresidente de ISSA Argentina (www.santiagocavanna.com.ar) desarrolló una exposición en vistas a las tendencias y estadísticas sobre lo que sucede en el mundo al respecto de los fraudes de identidad, lo llamó “Los grandes números”.
El crecimiento demográfico, es acompañado por uno aún mayor en lo que al acceso a Internet se refiere. La generación .NET (nacidos entre el ’77 y ’96) es el tercio de la población que desde sus comienzos se comunica a través de Internet, donde bajo sus principios, se sienten libres de hacer lo que ellos quieren y no limitados como sucede en su contexto “no digital”. Esta libertad sin conciencia deja abierta la puerta a la exposición de información personal. Los grandes números determinan brechas de seguridad con fuertes tendencias al crecimiento, según lo expuesto por Santiago basado en información de ITRC (Identity Theft Resource Center), que indicó el doble de brechas de seguridad en el primer trimestre de 2008 con respecto al mismo período del año anterior. ¿Cuál es el negocio que está detrás del robo de la identidad? Solo el negocio atrás de las redes sociales es de USD 764 millones en la actualidad, con un futuro a crecer a USD 4,600 millones en el 2013. Se suman a la lista de este negocio, tarjetas de créditos, inmigrantes ilegales, infidelidades de pareja, fraudes en el comercio electrónico, etc. Muchas cosas no tienen precio, como dice el slogan, pero nuestros datos si. Como cierre de su exposición, Santiago basándose en un reporte de Symantec, nos mostró el ranking de precios de nuestra información confidencial: una cuenta bancaria entre USD 10 a 1000, tarjetas de créditos USD 0.40 a 20, perfiles completos de identidad USD 1 a 15, …nuestros datos tienen precio y en el mercado negro esto es un importante negocio delictivo.
Andrés Gil, socio de Deloitte, especialista en Servicios de Seguridad y Privacidad (www.deloitte.com.ar) abordó la temática: Gestión de la identidad en las corporaciones.
El especialista desarrolló el concepto de la identidad en las redes corporativas, el esquema de gestión de las mismas y las buenas prácticas del mercado de la seguridad en esta materia. La problemática actual aborda la administración de identidades y el control de accesos enfatizando que su buena gestión solo es posible con una política adecuada y un IAM (Identity & Access Management) asociado. El alcance de un IAM engloba las identidades en los procesos de negocios, la gestión de identidades en la cadena de valor del mismo, la gestión del ciclo de vida de las identidades, procesos vinculantes a los empleados, roles y permisos, entre los más importantes a destacar. En la gran red de relaciones que existen entre los activos de información y tecnológicos y los empleados de la empresa, el IAM tiene un objetivo simple y concreto: asegurar que los usuarios autorizados tengan acceso a la información en base a las necesidades definidas por los procesos del negocio. Andrés Gil nos expuso los beneficios: “El ahorro operativo de las áreas y el retorno de la inversión no se pueden entender como las únicas variables de análisis a ser consideradas, la implementación de Identity & Access Management contribuye a facilitar la implementación de los nuevos negocios, aumentar las capacidades de las aplicaciones, y mejorar la administración del riesgo y cumplimiento regulatorio
Sergio Bollini, Director de Tecnología de Lightech (www.lightech.com.ar), ahondó en una de las prácticas más utilizadas a la hora de robar información: Ingeniería Social.
Sin importar la forma en la que se encuentre la información, ésta puede ser robada por mecanismos de engaño entre personas. Sergio nos explicaba: “Ingeniería Social es la práctica de obtener información confidencial a través del engaño a usuarios legítimos, aprovechando la tendencia natural de la gente a confiar en los demás y tratar de ayudarlos. Esto permite que el atacante acceda a información confidencial sin la necesidad de explotar eventuales debilidades de seguridad en los sistemas informáticos”, y reforzaba la idea, “los usuarios son el eslabón más débil de la seguridad”. La ingeniería social, fuera de todo alcance tecnológico, tiene bases psicológicas en su perfección. Sergio determinó que el proceso puede dividirse en cuatro etapas: la recolección de información, el desarrollo de relaciones, la explotación y la ejecución propiamente dicha. La minimización de los riesgos, frente a estas técnicas, conlleva una combinación de capacitación, políticas de seguridad, herramientas tecnológicas y como recalcaba Sergio, “Ponga a prueba sus defensas”, focalizando en controles periódicos a la población de la organización frente a lo implementado y aprendido.
A esa altura de la jornada, el nivel informativo de los riesgos actuales en la sociedad digital conllevaba a tomar conciencia de lo vulnerables que nos encontrábamos al dejar nuestros datos en la red de redes. Nuestro marco legal todavía no se encuentra maduro al respecto de evidencias digitales. Igualmente existen herramientas y técnicas que nos permiten realizar análisis forenses en materia de elementos informáticos en caso de robos o fraudes.
Es por ello, que Gustavo Daniel Presman, especialista certificado en Informática Forense (www.presman.com.ar) desarrolló en su bloque de exposición el “análisis forense de un caso de robo de identidad”.
Sobre el desarrollo de un caso, Gustavo planteó las etapas del análisis forense en términos prácticos que sumó un aditivo a las expectativas de conocimiento del auditorio. El desarrollo involucró el planteo de las evidencias disponibles (visibles e invisibles), el material a buscar en este tipo de casos, la virtualización aplicada a la evidencia, el análisis de soportes de información, el análisis de la imagen forense disponible, el análisis de firmas y índices (hashes) y el cierre del informe de investigación. Apoyado en herramientas como Encase Forensic, el conjunto de actividades iban guardando pistas de los resultados de investigación, contribuyendo a un detalle minucioso y comparativo, que posibilitase a los responsables legales complementar sus investigaciones con las conclusiones obtenidas en el análisis forense informático. La ciencia forense permite aplicar los conocimientos técnicos, en virtud de brindar respuesta a los interrogantes que el sistema legal posee.
Como complemento a lo desarrollado por Andrés Gil con respecto a IAM, Mariano Morano, Latin America ISM Lead, Security and Identity Management, Novell Inc. (www.novell.com/security) abordó el tema de la próxima generación en administración de seguridad – SIEM (Security Information & Event Management).
El intercambio de información digital entre los activos de información y cada una de las identidades digitales en la red, determina el flujo de eventos que realizan las personas con los recursos que dispone la organización. El flujo de paquetes que se transmiten por la red y el grado de confidencialidad determina el nivel de riesgo a la que se encuentra expuesta la empresa. Mariano nos explicaba tres pasos básicos en relación a la identidad digital y la seguridad, “Si Usted puede identificar un recurso o usuario, entonces Usted puede administrarlo. Tan solo recién cuando realizó lo anterior, entonces podrá aplicar la seguridad correspondiente para protegerlo”. El desafío en la utilización de SIEM es realizar un mapeo entre los eventos y las actividades del negocio, determinando la identidad de quienes (empleados) utilizan que cosa (activo de información y tecnológico) dentro de un contexto de riesgos conocidos y controlados de la organización.
Otro aspecto relacionado con la identificación de las personas se relaciona con las tarjetas de acceso a las empresas y las credenciales de identificación personales. Martín Deferrari, Gerente Comercial de Identimax (www.identimax.com.ar) presentó el concepto de tarjetas inteligentes de identificación a nivel corporativo y el caso de documentos de identidad de España.
En relación a este tema de identidad electrónica, Martín explicaba “La identidad nunca es electrónica, siempre es física. Lo que es electrónico es el procedimiento para establecer y verificar dicha identidad”, continuaba el punto diciendo “La identidad digital, es una herramienta esencial para el desarrollo de la Sociedad de la Información y las relaciones jurídicas, económicas, a través de la red y se combina con la seguridad física del documento”. El documento electrónico acredita en forma inequívoca la identidad del titular considerando los tres niveles de seguridad aplicados a la tarjeta soporte: 1) Perceptibles a simple vista, 2) Perceptibles mediante equipos mecánicos y electrónicos y 3) Perceptibles en laboratorio.
En el cierre de la jornada, Cristian Borghello, Director del Sitio Segu-Info y Certificado Profesional de la Seguridad de la Información (www.segu-info.com.ar) focalizó en el eslabón mas débil, los usuarios finales, brindando consejos prácticos en la administración de contraseñas.
Cristian comenzaba: “Una contraseña es como un cepillo de dientes. Úsalo cada día, cámbialo regularmente y NO lo compartas con tus amigos”. El punto de partida de la información confidencial digital, requiere el uso de una identificación de usuario y una contraseña de autenticación. La importancia del uso de las contraseñas estará ligada a la información accesible mediante la misma. Cristian explicaba que la longitud de la contraseña, la combinación de caracteres y el uso de reglas inteligentes para recordarlas, es la clave al respecto de este punto de seguridad. Mediante técnicas de “fuerza bruta” para la obtención o averiguación de contraseñas de usuarios, Cristian indicaba que “una contraseña de 6 caracteres utilizando solamente letras minúsculas, puede ser obtenida en 51 minutos, la misma cantidad de caracteres pero combinando mayúsculas, minúsculas, dígitos y símbolos, necesitaríamos 3 meses aproximadamente”. Continúó bajo el concepto de extender la cantidad de caracteres, “Ahora bien, si vamos al mismo caso anterior pero utilizamos 10 caracteres los tiempos de quiebre de contraseña se extenderían a 54 años y 21 millones de años respectivamente”. Es por eso que las contraseñas son un aspecto importante de la seguridad, son la primera línea de defensa de los usuarios, las cuales deben ser gestionadas y administradas globalmente. Es por ello que el especialista de seguridad expuso detalladamente las buenas prácticas sobre contraseñas en base a tres pilares: su longitud (cantidad de caracteres), el ancho (universo de caracteres posibles) y su profundidad (esfuerzo necesario para descifrarla). Cristian finalizó su exposición recomendándonos, “Realicen el cambio de los usuarios y contraseñas que vienen por defectos en los dispositivos informáticos y tecnológicos… En caso contrario nada de lo anterior tiene sentido”.
La presentaciones completas se pueden obtener desde aquí
NOTA: Para poder realizar la descarga de las presentaciones (archivos PDF) debe estar registrado en el sitio www.cxo-community.com.ar, de esta manera podrá acceder a la sección “Documentos” donde se encuentran cada uno de los contenidos indicados.
CXO Community, www.cxo-community.com.ar, info(at)cxo-community.com.
Buenos Aires, 6 de mayo de 2008 - Organizada por CxO Community, Dixit Comunicación de Negocios, y con el apoyo del Instituto Universitario de la Policía Federal Argentina, se realizó la I Jornada de Gestión de la Identidad en la Era Digital.
Como primer encuentro de la serie temática especializada en Seguridad de la Información, la Jornada generó amplia expectativa. Se dio tratamiento a los aspectos de mayor actualidad relacionados con la gestión de la identidad a nivel corporativo: los riesgos y prevenciones ante el robo de identidad, el manejo de la información personal en redes sociales y fuentes abiertas, las amenazas vinculadas a la ingeniería social en las empresas, así como la gestión de permisos, uso de las contraseñas y el análisis forense de casos.
El encuentro fue auspiciado por las empresas Lightech, Deloitte e Identidad Robada.
En la sede del Instituto Universitario de la Policía Federal Argentina (IUPFA), Rosario 532 Capital Federal, se realizó la Primera Jornada de Gestión de la Identidad en la Era Digital. Más de 120 asistentes congregados en el Salón de las Américas, en esta jornada de día completo, pudieron apreciar de las ponencias de destacados referentes del mercado de la Seguridad Informática.
La presentaciones completas se pueden obtener desde aquí
La apertura de la jornada fue realizada por Daniel Monastersky, Abogado y CEO del sitio Identidad Robada (www.identidadrobada.com) abordando el interrogante sobre ¿Si existe una única identidad digital?
El libro “Googleame” de la filósofa Bárbara Bassin sirvió de punto de partida para que Daniel abriera una serie de problemáticas en la actual era digital en relación a como cada uno de nosotros exponemos y nos mostramos en Internet y en general en el contexto informático. Las redes sociales y los blogs fueron claros ejemplos de como nuestra identidad es distribuida por nosotros mismos sin conciencia de la apertura informativa que ello implica. Ahora bien, ¿qué hacemos para encontrar información de una persona en particular? ¡Googleamos! Daniel demostró como sitios como www.pipl.com y www.spock.com nos brindan información personal que se encuentre en el mundo digital.
El marco regulatorio de Argentina se encuentra en un proceso de madurez. La Ley de Habeas Data (Ley 25326, Decreto 1558/01 y Disposición 11/2006) sumada a la reforma del Senado (próxima a aprobarse en Diputados) sobre delitos informáticos demuestran que estamos en esta transición de tomar en serio una problemática que existe desde el año 2000. Los casos de robo de identidad no esperan a que las leyes se efectivicen. Sobre esta base se presentó el caso de la Srta. Maricela Ballatore, quién fue víctima del robo del documento de identidad y como complemento a un conjunto de información personal, se realizaron transacciones, compras y préstamos a su nombre. Actualmente se encuentra bajo la asesoría de Daniel Monastersky, a fin de recomponer su situación previa al momento de la usurpación y robo de la identidad.
Sobre la línea que ofrecen los servicios de búsqueda de Google y las facilidades del mundo Web 2.0, Ezequiel Sallis, Director de Investigación y Desarrollo de Root-Secure (www.root-secure.com) desarrolló el segundo segmento titulado “The Low Hanging Fruit” (La fruta más fácil de alcanzar).
“Lo primero que podemos ver es que las Redes Sociales, los Foros, los Juegos, las Herramientas On Line, etc… conforman los repositorios de información relacionada con la administración de identidad, más grandes e informales del mundo virtual, y por ende, mayormente una de las más descuidadas.”, comenzaba disertando Ezequiel. Asimismo complementaba: “Las consecuencias de la ejecución efectiva de las técnicas antes mencionadas, ponen en evidencia el riesgo al que expone inocentemente un usuario a su organización o a si mismo, tan solo por no interactuar de manera adecuada en el mundo WEB 2.0”. Y para que no quedaran dudas que el eslabón más débil en seguridad sigue siendo la persona, Ezequiel mostró un abanico de ejemplos que desbordaron el marco de lo imaginable en términos de información confidencial expuesta en los calendarios de Google, a saber: cambios de contraseñas, códigos de conferencias, códigos confidenciales, cambios de personal, entre otros insólitos ejemplos de información personal a disposición de cualquier persona que quisiera utilizar un buscador en Internet. Como cierre, Ezequiel Sallis nos brindó un inteligente consejo: “La efectividad de los controles técnicos, depende en gran medida de la colaboración del Usuario. Revise su plan de seguridad y vea que prioridad ocupa la educación de sus usuarios...”
Santiago Cavanna, Consultor Independiente, Vicepresidente de ISSA Argentina (www.santiagocavanna.com.ar) desarrolló una exposición en vistas a las tendencias y estadísticas sobre lo que sucede en el mundo al respecto de los fraudes de identidad, lo llamó “Los grandes números”.
El crecimiento demográfico, es acompañado por uno aún mayor en lo que al acceso a Internet se refiere. La generación .NET (nacidos entre el ’77 y ’96) es el tercio de la población que desde sus comienzos se comunica a través de Internet, donde bajo sus principios, se sienten libres de hacer lo que ellos quieren y no limitados como sucede en su contexto “no digital”. Esta libertad sin conciencia deja abierta la puerta a la exposición de información personal. Los grandes números determinan brechas de seguridad con fuertes tendencias al crecimiento, según lo expuesto por Santiago basado en información de ITRC (Identity Theft Resource Center), que indicó el doble de brechas de seguridad en el primer trimestre de 2008 con respecto al mismo período del año anterior. ¿Cuál es el negocio que está detrás del robo de la identidad? Solo el negocio atrás de las redes sociales es de USD 764 millones en la actualidad, con un futuro a crecer a USD 4,600 millones en el 2013. Se suman a la lista de este negocio, tarjetas de créditos, inmigrantes ilegales, infidelidades de pareja, fraudes en el comercio electrónico, etc. Muchas cosas no tienen precio, como dice el slogan, pero nuestros datos si. Como cierre de su exposición, Santiago basándose en un reporte de Symantec, nos mostró el ranking de precios de nuestra información confidencial: una cuenta bancaria entre USD 10 a 1000, tarjetas de créditos USD 0.40 a 20, perfiles completos de identidad USD 1 a 15, …nuestros datos tienen precio y en el mercado negro esto es un importante negocio delictivo.
Andrés Gil, socio de Deloitte, especialista en Servicios de Seguridad y Privacidad (www.deloitte.com.ar) abordó la temática: Gestión de la identidad en las corporaciones.
El especialista desarrolló el concepto de la identidad en las redes corporativas, el esquema de gestión de las mismas y las buenas prácticas del mercado de la seguridad en esta materia. La problemática actual aborda la administración de identidades y el control de accesos enfatizando que su buena gestión solo es posible con una política adecuada y un IAM (Identity & Access Management) asociado. El alcance de un IAM engloba las identidades en los procesos de negocios, la gestión de identidades en la cadena de valor del mismo, la gestión del ciclo de vida de las identidades, procesos vinculantes a los empleados, roles y permisos, entre los más importantes a destacar. En la gran red de relaciones que existen entre los activos de información y tecnológicos y los empleados de la empresa, el IAM tiene un objetivo simple y concreto: asegurar que los usuarios autorizados tengan acceso a la información en base a las necesidades definidas por los procesos del negocio. Andrés Gil nos expuso los beneficios: “El ahorro operativo de las áreas y el retorno de la inversión no se pueden entender como las únicas variables de análisis a ser consideradas, la implementación de Identity & Access Management contribuye a facilitar la implementación de los nuevos negocios, aumentar las capacidades de las aplicaciones, y mejorar la administración del riesgo y cumplimiento regulatorio
Sergio Bollini, Director de Tecnología de Lightech (www.lightech.com.ar), ahondó en una de las prácticas más utilizadas a la hora de robar información: Ingeniería Social.
Sin importar la forma en la que se encuentre la información, ésta puede ser robada por mecanismos de engaño entre personas. Sergio nos explicaba: “Ingeniería Social es la práctica de obtener información confidencial a través del engaño a usuarios legítimos, aprovechando la tendencia natural de la gente a confiar en los demás y tratar de ayudarlos. Esto permite que el atacante acceda a información confidencial sin la necesidad de explotar eventuales debilidades de seguridad en los sistemas informáticos”, y reforzaba la idea, “los usuarios son el eslabón más débil de la seguridad”. La ingeniería social, fuera de todo alcance tecnológico, tiene bases psicológicas en su perfección. Sergio determinó que el proceso puede dividirse en cuatro etapas: la recolección de información, el desarrollo de relaciones, la explotación y la ejecución propiamente dicha. La minimización de los riesgos, frente a estas técnicas, conlleva una combinación de capacitación, políticas de seguridad, herramientas tecnológicas y como recalcaba Sergio, “Ponga a prueba sus defensas”, focalizando en controles periódicos a la población de la organización frente a lo implementado y aprendido.
A esa altura de la jornada, el nivel informativo de los riesgos actuales en la sociedad digital conllevaba a tomar conciencia de lo vulnerables que nos encontrábamos al dejar nuestros datos en la red de redes. Nuestro marco legal todavía no se encuentra maduro al respecto de evidencias digitales. Igualmente existen herramientas y técnicas que nos permiten realizar análisis forenses en materia de elementos informáticos en caso de robos o fraudes.
Es por ello, que Gustavo Daniel Presman, especialista certificado en Informática Forense (www.presman.com.ar) desarrolló en su bloque de exposición el “análisis forense de un caso de robo de identidad”.
Sobre el desarrollo de un caso, Gustavo planteó las etapas del análisis forense en términos prácticos que sumó un aditivo a las expectativas de conocimiento del auditorio. El desarrollo involucró el planteo de las evidencias disponibles (visibles e invisibles), el material a buscar en este tipo de casos, la virtualización aplicada a la evidencia, el análisis de soportes de información, el análisis de la imagen forense disponible, el análisis de firmas y índices (hashes) y el cierre del informe de investigación. Apoyado en herramientas como Encase Forensic, el conjunto de actividades iban guardando pistas de los resultados de investigación, contribuyendo a un detalle minucioso y comparativo, que posibilitase a los responsables legales complementar sus investigaciones con las conclusiones obtenidas en el análisis forense informático. La ciencia forense permite aplicar los conocimientos técnicos, en virtud de brindar respuesta a los interrogantes que el sistema legal posee.
Como complemento a lo desarrollado por Andrés Gil con respecto a IAM, Mariano Morano, Latin America ISM Lead, Security and Identity Management, Novell Inc. (www.novell.com/security) abordó el tema de la próxima generación en administración de seguridad – SIEM (Security Information & Event Management).
El intercambio de información digital entre los activos de información y cada una de las identidades digitales en la red, determina el flujo de eventos que realizan las personas con los recursos que dispone la organización. El flujo de paquetes que se transmiten por la red y el grado de confidencialidad determina el nivel de riesgo a la que se encuentra expuesta la empresa. Mariano nos explicaba tres pasos básicos en relación a la identidad digital y la seguridad, “Si Usted puede identificar un recurso o usuario, entonces Usted puede administrarlo. Tan solo recién cuando realizó lo anterior, entonces podrá aplicar la seguridad correspondiente para protegerlo”. El desafío en la utilización de SIEM es realizar un mapeo entre los eventos y las actividades del negocio, determinando la identidad de quienes (empleados) utilizan que cosa (activo de información y tecnológico) dentro de un contexto de riesgos conocidos y controlados de la organización.
Otro aspecto relacionado con la identificación de las personas se relaciona con las tarjetas de acceso a las empresas y las credenciales de identificación personales. Martín Deferrari, Gerente Comercial de Identimax (www.identimax.com.ar) presentó el concepto de tarjetas inteligentes de identificación a nivel corporativo y el caso de documentos de identidad de España.
En relación a este tema de identidad electrónica, Martín explicaba “La identidad nunca es electrónica, siempre es física. Lo que es electrónico es el procedimiento para establecer y verificar dicha identidad”, continuaba el punto diciendo “La identidad digital, es una herramienta esencial para el desarrollo de la Sociedad de la Información y las relaciones jurídicas, económicas, a través de la red y se combina con la seguridad física del documento”. El documento electrónico acredita en forma inequívoca la identidad del titular considerando los tres niveles de seguridad aplicados a la tarjeta soporte: 1) Perceptibles a simple vista, 2) Perceptibles mediante equipos mecánicos y electrónicos y 3) Perceptibles en laboratorio.
En el cierre de la jornada, Cristian Borghello, Director del Sitio Segu-Info y Certificado Profesional de la Seguridad de la Información (www.segu-info.com.ar) focalizó en el eslabón mas débil, los usuarios finales, brindando consejos prácticos en la administración de contraseñas.
Cristian comenzaba: “Una contraseña es como un cepillo de dientes. Úsalo cada día, cámbialo regularmente y NO lo compartas con tus amigos”. El punto de partida de la información confidencial digital, requiere el uso de una identificación de usuario y una contraseña de autenticación. La importancia del uso de las contraseñas estará ligada a la información accesible mediante la misma. Cristian explicaba que la longitud de la contraseña, la combinación de caracteres y el uso de reglas inteligentes para recordarlas, es la clave al respecto de este punto de seguridad. Mediante técnicas de “fuerza bruta” para la obtención o averiguación de contraseñas de usuarios, Cristian indicaba que “una contraseña de 6 caracteres utilizando solamente letras minúsculas, puede ser obtenida en 51 minutos, la misma cantidad de caracteres pero combinando mayúsculas, minúsculas, dígitos y símbolos, necesitaríamos 3 meses aproximadamente”. Continúó bajo el concepto de extender la cantidad de caracteres, “Ahora bien, si vamos al mismo caso anterior pero utilizamos 10 caracteres los tiempos de quiebre de contraseña se extenderían a 54 años y 21 millones de años respectivamente”. Es por eso que las contraseñas son un aspecto importante de la seguridad, son la primera línea de defensa de los usuarios, las cuales deben ser gestionadas y administradas globalmente. Es por ello que el especialista de seguridad expuso detalladamente las buenas prácticas sobre contraseñas en base a tres pilares: su longitud (cantidad de caracteres), el ancho (universo de caracteres posibles) y su profundidad (esfuerzo necesario para descifrarla). Cristian finalizó su exposición recomendándonos, “Realicen el cambio de los usuarios y contraseñas que vienen por defectos en los dispositivos informáticos y tecnológicos… En caso contrario nada de lo anterior tiene sentido”.
La presentaciones completas se pueden obtener desde aquí
NOTA: Para poder realizar la descarga de las presentaciones (archivos PDF) debe estar registrado en el sitio www.cxo-community.com.ar, de esta manera podrá acceder a la sección “Documentos” donde se encuentran cada uno de los contenidos indicados.
CXO Community, www.cxo-community.com.ar, info(at)cxo-community.com.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!