Los últimos dos días se realizó la edición número 15 de la Black Hat, el congreso sobre hacking y seguridad más importante del mundo, y aquí estamos junto a Joaquín Rodríguez Varela, Coordinador de Laboratorio, como representantes de ESET Latinoamérica. Además, ESET estuvo presente como sponsor del evento con un stand y un crackme para resolver. Una de los primeras actividades, fue un panel de debate que reunió a cuatro figuras muy reconocidas del ambiente que, casualmente, habían sido oradores en la primer edición del evento, quince años atrás. Los integrantes fueron Jeff Moss (Dark Tangent, fundador y actualmente asesor del gobierno), Adam Shostack, Marcus Ranum (ambos investigadores muy reconocidos en el ambiente) y Bruce Schneier (especialista en criptografía y seguridad y autor de varios libros). De ese panel, me gustaría compartir con ustedes algunas reflexiones muy interesantes que se realizaron y declaraciones que hicieron sus integrantes, que creo muestran un poco el estado de la seguridad hoy en día:
Bruce Schneier: "Cuando se cae un avión, se inicia una investigación, se identifica el dinero perdido, se detectan los errores y, fundamentalmente, se aprende. ¿Por qué no ocurre lo mismo con los incidentes informáticos?"
No hay mucho para decir sobre sus declaraciones, pero básicamente resumen la principal asignatura pendiente en seguridad, darle el lugar que esta merece, y tratarla como una disciplina fundamental para el negocio, que tiene implicancias directas sobre el dinero que la empresa pierde y que puede ser tratada como se tratan otros aspectos de la empresa, con profesionalismo, procesos, buenas prácticas, mediciones, indicadores, y otros componentes.
También la frase deja en claro como, más allá de los esfuerzos que ponen las organizaciones en la prevención de ataques, muy pocas saben cómo reaccionar ante la ocurrencia de un incidente informático en la organización.
Bruce Schneier: "Somos buenos contra los gusanos, los troyanos, el spam; pero apestamos (sic) contra ataques dirigidos".
Dos focos: el primero, las tecnologías de seguridad son la base de la protección. El especialista deja muy en claro que hoy en día, más allá que la gente se sigue infectando, esto no se debe a la falta de madurez de las tecnologías sino todo lo contrario: sabemos cómo combatir las amenazas masivas y, además, las organizaciones que hagan un correcto deploy de las herramientas y las acompañen con las buenas prácticas y educación necesarias, podrán tener controlado este aspecto de forma relativamente sencilla.
No obstante, qué agregar a la idea de Schneier, "apestamos contra ataques dirigidos". Quizás muy relacionada a la tercera y última frase que quiero destacar, pero las organizaciones aún no han estado trabajando en procesos que les permitan identificar ataques dirigidos a su organización, probablemente la asignatura pendiente más importante a trabajar en los próximos años en seguridad de la información.
Jeff Moss: "La mejor forma de invertir tu dinero, es en tu gente"
Más allá de que claramente las inversiones en seguridad se reparten en diversos campos, con un amplio porcentaje en las tecnologías, la intención de la frase de Moss es muy clara: las empresas deben contar con profesionales preparados para hacerse cargo de un proceso cada vez más complejo, que es el de proteger la información corporativa.
En resumen, tomé nota de estas tres frases durante el panel y creo que es la mejor forma de introducir un primer post sobre el evento, que resume de alguna forma en tres frases el estado de la seguridad de la información en la actualidad.
A partir de hoy, también estaremos presentes en la Defcon, por lo que también iremos compartiendo con ustedes la próxima semana más ideas sobre las charlas de los eventos más importantes del mundo de la seguridad informática.
Sebastián Bortnik
Gerente de Educación y Servicios
