Escrito por Oscar Andres Schmitz Martes, 06 de Mayo de 2008 00:00
Es la primera actividad de la serie prevista por CXO Community. Contó con la participación de más de 120 profesionales especializados en tecnología y en seguridad empresarial.
Buenos Aires, 6 de mayo de 2008 - Organizada por CxO Community, Dixit Comunicación de Negocios, y con el apoyo del Instituto Universitario de la Policía Federal Argentina, se realizó la I Jornada de Gestión de la Identidad en la Era Digital.
Como primer encuentro de la serie temática especializada en Seguridad de la Información, la Jornada generó amplia expectativa. Se dio tratamiento a los aspectos de mayor actualidad relacionados con la gestión de la identidad a nivel corporativo: los riesgos y prevenciones ante el robo de identidad, el manejo de la información personal en redes sociales y fuentes abiertas, las amenazas vinculadas a la ingeniería social en las empresas, así como la gestión de permisos, uso de las contraseñas y el análisis forense de casos.
El encuentro fue auspiciado por las empresas Lightech, Deloitte e Identidad Robada.
En la sede del Instituto Universitario de la Policía Federal Argentina (IUPFA), Rosario 532 Capital Federal, se realizó la Primera Jornada de Gestión de la Identidad en la Era Digital. Más de 120 asistentes congregados en el Salón de las Américas, en esta jornada de día completo, pudieron apreciar de las ponencias de destacados referentes del mercado de la Seguridad Informática.
La apertura de la jornada fue realizada por Daniel Monastersky, Abogado y CEO del sitio Identidad Robada (www.identidadrobada.com) abordando el interrogante sobre ¿Si existe una única identidad digital?
El libro “Googleame” de la filósofa Bárbara Bassin sirvió de punto de partida para que Daniel abriera una serie de problemáticas en la actual era digital en relación a como cada uno de nosotros exponemos y nos mostramos en Internet y en general en el contexto informático. Las redes sociales y los blogs fueron claros ejemplos de como nuestra identidad es distribuida por nosotros mismos sin conciencia de la apertura informativa que ello implica. Ahora bien, ¿qué hacemos para encontrar información de una persona en particular? ¡Googleamos! Daniel demostró como sitios como www.pipl.com y www.spock.com nos brindan información personal que se encuentre en el mundo digital.
El marco regulatorio de Argentina se encuentra en un proceso de madurez. La Ley de Habeas Data (Ley 25326, Decreto 1558/01 y Disposición 11/2006) sumada a la reforma del Senado (próxima a aprobarse en Diputados) sobre delitos informáticos demuestran que estamos en esta transición de tomar en serio una problemática que existe desde el año 2000. Los casos de robo de identidad no esperan a que las leyes se efectivicen. Sobre esta base se presentó el caso de la Srta. Maricela Ballatore, quién fue víctima del robo del documento de identidad y como complemento a un conjunto de información personal, se realizaron transacciones, compras y préstamos a su nombre. Actualmente se encuentra bajo la asesoría de Daniel Monastersky, a fin de recomponer su situación previa al momento de la usurpación y robo de la identidad.
La presentación completa puede ser obtenida desde este link (1)
Sobre la línea que ofrecen los servicios de búsqueda de Google y las facilidades del mundo Web 2.0, Ezequiel Sallis, Director de Investigación y Desarrollo de Root-Secure (www.root-secure.com) desarrolló el segundo segmento titulado “The Low Hanging Fruit” (La fruta más fácil de alcanzar).
“Lo primero que podemos ver es que las Redes Sociales, los Foros, los Juegos, las Herramientas On Line, etc… conforman los repositorios de información relacionada con la administración de identidad, más grandes e informales del mundo virtual, y por ende, mayormente una de las más descuidadas.”, comenzaba disertando Ezequiel. Asimismo complementaba: “Las consecuencias de la ejecución efectiva de las técnicas antes mencionadas, ponen en evidencia el riesgo al que expone inocentemente un usuario a su organización o a si mismo, tan solo por no interactuar de manera adecuada en el mundo WEB 2.0”. Y para que no quedaran dudas que el eslabón más débil en seguridad sigue siendo la persona, Ezequiel mostró un abanico de ejemplos que desbordaron el marco de lo imaginable en términos de información confidencial expuesta en los calendarios de Google, a saber: cambios de contraseñas, códigos de conferencias, códigos confidenciales, cambios de personal, entre otros insólitos ejemplos de información personal a disposición de cualquier persona que quisiera utilizar un buscador en Internet. Como cierre, Ezequiel Sallis nos brindó un inteligente consejo: “La efectividad de los controles técnicos, depende en gran medida de la colaboración del Usuario. Revise su plan de seguridad y vea que prioridad ocupa la educación de sus usuarios...”
La presentación completa puede ser obtenida desde este link (1)
Santiago Cavanna, Consultor Independiente, Vicepresidente de ISSA Argentina (www.santiagocavanna.com.ar) desarrolló una exposición en vistas a las tendencias y estadísticas sobre lo que sucede en el mundo al respecto de los fraudes de identidad, lo llamó “Los grandes números”.
El crecimiento demográfico, es acompañado por uno aún mayor en lo que al acceso a Internet se refiere. La generación .NET (nacidos entre el ’77 y ’96) es el tercio de la población que desde sus comienzos se comunica a través de Internet, donde bajo sus principios, se sienten libres de hacer lo que ellos quieren y no limitados como sucede en su contexto “no digital”. Esta libertad sin conciencia deja abierta la puerta a la exposición de información personal. Los grandes números determinan brechas de seguridad con fuertes tendencias al crecimiento, según lo expuesto por Santiago basado en información de ITRC (Identity Theft Resource Center), que indicó el doble de brechas de seguridad en el primer trimestre de 2008 con respecto al mismo período del año anterior. ¿Cuál es el negocio que está detrás del robo de la identidad? Solo el negocio atrás de las redes sociales es de USD 764 millones en la actualidad, con un futuro a crecer a USD 4,600 millones en el 2013. Se suman a la lista de este negocio, tarjetas de créditos, inmigrantes ilegales, infidelidades de pareja, fraudes en el comercio electrónico, etc. Muchas cosas no tienen precio, como dice el slogan, pero nuestros datos si. Como cierre de su exposición, Santiago basándose en un reporte de Symantec, nos mostró el ranking de precios de nuestra información confidencial: una cuenta bancaria entre USD 10 a 1000, tarjetas de créditos USD 0.40 a 20, perfiles completos de identidad USD 1 a 15, …nuestros datos tienen precio y en el mercado negro esto es un importante negocio delictivo.
La presentación completa puede ser obtenida desde este link (1)
Andrés Gil, socio de Deloitte, especialista en Servicios de Seguridad y Privacidad (www.deloitte.com.ar) abordó la temática: Gestión de la identidad en las corporaciones.
El especialista desarrolló el concepto de la identidad en las redes corporativas, el esquema de gestión de las mismas y las buenas prácticas del mercado de la seguridad en esta materia. La problemática actual aborda la administración de identidades y el control de accesos enfatizando que su buena gestión solo es posible con una política adecuada y un IAM (Identity & Access Management) asociado. El alcance de un IAM engloba las identidades en los procesos de negocios, la gestión de identidades en la cadena de valor del mismo, la gestión del ciclo de vida de las identidades, procesos vinculantes a los empleados, roles y permisos, entre los más importantes a destacar. En la gran red de relaciones que existen entre los activos de información y tecnológicos y los empleados de la empresa, el IAM tiene un objetivo simple y concreto: asegurar que los usuarios autorizados tengan acceso a la información en base a las necesidades definidas por los procesos del negocio. Andrés Gil nos expuso los beneficios: “El ahorro operativo de las áreas y el retorno de la inversión no se pueden entender como las únicas variables de análisis a ser consideradas, la implementación de Identity & Access Management contribuye a facilitar la implementación de los nuevos negocios, aumentar las capacidades de las aplicaciones, y mejorar la administración del riesgo y cumplimiento regulatorio
La presentación completa puede ser obtenida desde este link (1)
Sergio Bollini, Director de Tecnología de Lightech (www.lightech.com.ar), ahondó en una de las prácticas más utilizadas a la hora de robar información: Ingeniería Social.
Sin importar la forma en la que se encuentre la información, ésta puede ser robada por mecanismos de engaño entre personas. Sergio nos explicaba: “Ingeniería Social es la práctica de obtener información confidencial a través del engaño a usuarios legítimos, aprovechando la tendencia natural de la gente a confiar en los demás y tratar de ayudarlos. Esto permite que el atacante acceda a información confidencial sin la necesidad de explotar eventuales debilidades de seguridad en los sistemas informáticos”, y reforzaba la idea, “los usuarios son el eslabón más débil de la seguridad”. La ingeniería social, fuera de todo alcance tecnológico, tiene bases psicológicas en su perfección. Sergio determinó que el proceso puede dividirse en cuatro etapas: la recolección de información, el desarrollo de relaciones, la explotación y la ejecución propiamente dicha. La minimización de los riesgos, frente a estas técnicas, conlleva una combinación de capacitación, políticas de seguridad, herramientas tecnológicas y como recalcaba Sergio, “Ponga a prueba sus defensas”, focalizando en controles periódicos a la población de la organización frente a lo implementado y aprendido.
La presentación completa puede ser obtenida desde este link (1)
A esa altura de la jornada, el nivel informativo de los riesgos actuales en la sociedad digital conllevaba a tomar conciencia de lo vulnerables que nos encontrábamos al dejar nuestros datos en la red de redes. Nuestro marco legal todavía no se encuentra maduro al respecto de evidencias digitales. Igualmente existen herramientas y técnicas que nos permiten realizar análisis forenses en materia de elementos informáticos en caso de robos o fraudes.
Es por ello, que Gustavo Daniel Presman, especialista certificado en Informática Forense (www.presman.com.ar) desarrolló en su bloque de exposición el “análisis forense de un caso de robo de identidad”.
Sobre el desarrollo de un caso, Gustavo planteó las etapas del análisis forense en términos prácticos que sumó un aditivo a las expectativas de conocimiento del auditorio. El desarrollo involucró el planteo de las evidencias disponibles (visibles e invisibles), el material a buscar en este tipo de casos, la virtualización aplicada a la evidencia, el análisis de soportes de información, el análisis de la imagen forense disponible, el análisis de firmas y índices (hashes) y el cierre del informe de investigación. Apoyado en herramientas como Encase Forensic, el conjunto de actividades iban guardando pistas de los resultados de investigación, contribuyendo a un detalle minucioso y comparativo, que posibilitase a los responsables legales complementar sus investigaciones con las conclusiones obtenidas en el análisis forense informático. La ciencia forense permite aplicar los conocimientos técnicos, en virtud de brindar respuesta a los interrogantes que el sistema legal posee.
La presentación completa puede ser obtenida desde este link (1)
Como complemento a lo desarrollado por Andrés Gil con respecto a IAM, Mariano Morano, Latin America ISM Lead, Security and Identity Management, Novell Inc. (www.novell.com/security) abordó el tema de la próxima generación en administración de seguridad – SIEM (Security Information & Event Management).
El intercambio de información digital entre los activos de información y cada una de las identidades digitales en la red, determina el flujo de eventos que realizan las personas con los recursos que dispone la organización. El flujo de paquetes que se transmiten por la red y el grado de confidencialidad determina el nivel de riesgo a la que se encuentra expuesta la empresa. Mariano nos explicaba tres pasos básicos en relación a la identidad digital y la seguridad, “Si Usted puede identificar un recurso o usuario, entonces Usted puede administrarlo. Tan solo recién cuando realizó lo anterior, entonces podrá aplicar la seguridad correspondiente para protegerlo”. El desafío en la utilización de SIEM es realizar un mapeo entre los eventos y las actividades del negocio, determinando la identidad de quienes (empleados) utilizan que cosa (activo de información y tecnológico) dentro de un contexto de riesgos conocidos y controlados de la organización.
La presentación completa puede ser obtenida desde este link (1)
Otro aspecto relacionado con la identificación de las personas se relaciona con las tarjetas de acceso 
a las empresas y las credenciales de identificación personales. Martín Deferrari, Gerente Comercial de Identimax (www.identimax.com.ar) presentó el concepto de tarjetas inteligentes de identificación a nivel corporativo y el caso de documentos de identidad de España.
En relación a este tema de identidad electrónica, Martín explicaba “La identidad nunca es electrónica, siempre es física. Lo que es electrónico es el procedimiento para establecer y verificar dicha identidad”, continuaba el punto diciendo “La identidad digital, es una herramienta esencial para el desarrollo de la Sociedad de la Información y las relaciones jurídicas, económicas, a través de la red y se combina con la seguridad física del documento”. El documento electrónico acredita en forma inequívoca la identidad del titular considerando los tres niveles de seguridad aplicados a la tarjeta soporte: 1) Perceptibles a simple vista, 2) Perceptibles mediante equipos mecánicos y electrónicos y 3) Perceptibles en laboratorio.
La presentación completa puede ser obtenida desde este link (1)
En el cierre de la jornada, Cristian Borghello, Director del Sitio Segu-Info y Certificado Profesional de la Seguridad de la Información (www.segu-info.com.ar) focalizó en el eslabón mas débil, los usuarios finales, brindando consejos prácticos en la administración de contraseñas.
Cristian comenzaba: “Una contraseña es como un cepillo de dientes. úsalo cada día, cámbialo regularmente y NO lo compartas con tus amigos”. El punto de partida de la información confidencial digital, requiere el uso de una identificación de usuario y una contraseña de autenticación. La importancia del uso de las contraseñas estará ligada a la información accesible mediante la misma. Cristian explicaba que la longitud de la contraseña, la combinación de caracteres y el uso de reglas inteligentes para recordarlas, es la clave al respecto de este punto de seguridad. Mediante técnicas de “fuerza bruta” para la obtención o averiguación de contraseñas de usuarios, Cristian indicaba que “una contraseña de 6 caracteres utilizando solamente letras minúsculas, puede ser obtenida en 51 minutos, la misma cantidad de caracteres pero combinando mayúsculas, minúsculas, dígitos y símbolos, necesitaríamos 3 meses aproximadamente”. Continuó bajo el concepto de extender la cantidad de caracteres, “Ahora bien, si vamos al mismo caso anterior pero utilizamos 10 caracteres los tiempos de quiebre de contraseña se extenderían a 54 años y 21 millones de años respectivamente”. Es por eso que las contraseñas son un aspecto importante de la seguridad, son la primera línea de defensa de los usuarios, las cuales deben ser gestionadas y administradas globalmente. Es por ello que el especialista de seguridad expuso detalladamente las buenas prácticas sobre contraseñas en base a tres pilares: su longitud (cantidad de caracteres), el ancho (universo de caracteres posibles) y su profundidad (esfuerzo necesario para descifrarla). Cristian finalizó su exposición recomendándonos, “Realicen el cambio de los usuarios y contraseñas que vienen por defectos en los dispositivos informáticos y tecnológicos… En caso contrario nada de lo anterior tiene sentido”.
La presentación completa puede ser obtenida desde este link (1)
Para mayor información:
(1) Para poder realizar la descarga de las presentaciones (archivos PDF) debe estar registrado en el sitio www.cxo-community.com.ar, de esta manera podrá acceder a la sección “Documentos” donde se encuentran cada uno de los contenidos indicados. Asimismo podrá solicitar las presentaciones por correo electrónico a info(at)cxo-community.com.ar
CXO Community, www.cxo-community.com.ar, info(at)cxo-community.com.
[DIXIT] Comunicaciones, www.dixitcomunicaciones.com.ar, info(at)dixitcomunicaciones.com.ar
Solicite el DVD completo de la jornada a jornadas(at)cxo-community.com.ar
Falsa Identidad
Por Joaquín Frías
Fue necesario que el presidente de la Corte Suprema de Justicia, Ricardo Lorenzetti, fuera objeto de un intento de phishing para que la vulnerabilidad de la identidad tuviera cierta repercusión mediática, comentaba ayer Daniel Monastersky (CEO de Identidad Robada), en la apertura de la I Jornada de Gestión de la Identidad en la Era Digital, un evento organizado por Dixit.
Aunque el tema pareciera que no está ni en la agenda del Gobierno ni de las empresas, tiene una existencia contundente. Monastersky comentó que según datos de Veraz (solo una de las empresas de información comercial) en la Argentina durante 2006 se produjeron 130 robos de identidad por mes, que ese año ocasionaron pérdidas en actividades financieras y comerciales por 500 millones de pesos.
Todo hace suponer que hoy esas cifras son mayores. ¿Por qué? En parte, porque el robo de identidad en Argentina todavía no es delito. Como consecuencia de esto, por ejemplo, es imposible denunciar el robo de un DNI, el único documento que en última instancia acredita identidad; directamente no se toma la denuncia.
Luego Monastersky se refirió a la ley de Habeas Data. Criticó la falta de campañas que informen a los ciudadanos sobre sus derechos de acceso a la información y cuáles son las modalidades de delito más habituales. También señaló que la falta de comunicación de incidentes -tanto por parte de las empresas como por la DNPDP- contribuye a que esta cuestión siga sumergida.
A continuación, Ezequiel Sallis, Director de Root Secure, planteó una interesante problemática: la disponibilidad de información sensible en fuentes abiertas. El punto de su exposición es que si bien existen técnicas para el robo de información personal de lo más sofisticadas, el arma más peligrosa de todas es, ni más ni menos, el propio usuario.
Sallis hizo una pequeña demostración realizando algunas búsquedas en Google Calendar. El resultado fue sorprendente: números de tarjetas de crédito, códigos de acceso, delicados asuntos laborales, realmente para elegir. Estos usuarios, por desconocimiento seguramente, hicieron públicas sus agendas dejando al alcance de cualquiera información crítica.
Un párrafo aparte fue dedicado a las redes sociales como MySpace o Facebook, hoy por hoy las plataformas de administración de identidad más grandes e informales de Internet, utilizadas en su gran mayoría por jóvenes y adolescentes. Según Sallis, es fundamental entender que en estos entornos la pérdida de control sobre la información publicada es total: este video lo explica bien.
"El punto crítico acá es la educación. Sin dudas, el eslabón más débil de la cadena de seguridad es el usuario", sintetizó Ezequiel Sallis.
| < Prev |
|---|
Próximas Jornadas
 |
 |
 |
 |
 |
Revista Impresa #16
Kiosco Digital
 |
Ingreso de usuarios
Registrados
Esta semana: 2 registrados
Este mes: 14 registrados
Visitas
 | Hoy | 2106 |
 | Ayer | 8376 |
 | Esta semana | 19465 |
 | Ultima semana | 45779 |
 | Este mes | 160882 |
 | Ultimo mes | 238584 |
 | Todos los días | 8392431 |
Hoy: May 23, 2012
Comentarios
Suscripción de noticias RSS para comentarios de esta entrada.