Riskout International

Gestión de la identidad

Desde visiones de software que nos desnudan como individuos hasta buscadores de motivos de despido para los empleados, una jornada con mucho contenido.

Estuvimos participando de la segunda jornada de gestión de la identidad en la era digital que organizó CXO Community en el auditorio de la UCEMA.

En principio, tanto las instalaciones como la atención de la gente de la universidad resultaron impecables y ni hablar del presentador y anfitrión, Oscar Schmitz, de CXO, que puso de manifiesto sus dotes de maestro de ceremonias desplegando muchos recursos para mantener a la audiencia animada y participativa. Felicitaciones!!

Los temas fueron variados y vamos a intentar hacer un pequeño resumen de ellos, de lo que entendimos de las variadas presentaciones, si bien en breve estarán siendo publicadas las presentaciones en el site de CXO Community.

Implicancias legales de la Web 2.0 - Daniel Monastersky

Acciones de las empresas sobre los empleados y colección de software destinado a bucear en las redes sociales y otros entornos en búsqueda de datos personales, ya sea para la validación de candidatos, como para investigar a colaboradores.

Bloqueo de sitios Web en las empresas y monitoreo de las actividades de los empleados, llegando incluso a la creación de perfiles falsos para seguir los comentarios de los mismos en distintos sitios.

Mucho foco sobre la obtención de razones para el despido de personas, cosa que no nos sorprende pero nos preocupa en especial por nuestra visión de lo importante de las personas para las empresas.

Algunas razones esgrimidas por las empresas para el monitoreo:

• Posible negligencia en la contratación (falta de validaciones apropiadas del candidato)
• Acoso laboral
• Difamaciones
• Publicidad adversa
• Ruidos en la comunicación oficial

Seguridad de la identidad  ? Ezequiel Sallis

Más sobre búsqueda de información en la Web.

Herramientas como Maltego que relacionan búsquedas de datos personales con infraestructura.

OSINT (Open Source Intelligence) como la nueva ola, con búsqueda, selección, adquisición de información pública, todo relacionado. Estas herramientas llevan el 5% del esfuerzo de otras y tienen el 80% del beneficio y valor de la información.

Buena descripción de la visión de la seguridad que tiene las diferentes generaciones (Baby Boomers, generación X, generación Y)

Extensa lista de buscadores que nos muestran que tan expuestos estamos en la red y datos importantes sobre buscadores que acceden a la metadata de los archivos de la Web.

Para preocuparse y ocuparse (ya estuvimos probando algunos y nos llevamos algunas sorpresas)

Gestión de los usuarios sensitivos ? Pablo Huerta y Agustín Zorgno

Casi una presentación de producto (Pitbull Key Holder - Muy bueno por cierto al menos en la demo). Manejo de contraseñas de emergencia por Soft y posible asociación con sistemas de manejo de incidentes. Una manera de eliminar los múltiples sobres con las claves de emergencia de los distintos entornos y dejar uno solo, el de este producto.

Gestión protegida de los datos críticos. Enmascaramiento de la información ? Gonzalo Angeleri

Datos de la realidad

• 70% del robo de datos es interno
• Los ambientes de prueba en las empresas usan datos reales de sus bases operativas
• Muchos datos de prueba en notebooks

Solución: Des-Identificar los datos

Dado que hacerlo manualmente resulta engorroso por las necesidades resultantes, presentaron una solución de software con las siguientes prestaciones:

• Gestión de datos de prueba cross plataforma
• Trabajo con subconjuntos de datos íntegramente referenciados
• Creación dinámica del ambiente destino
• Creación de condiciones de error (el mayor trabajo a la hora de las pruebas)
• Enmascaramiento de datos con propagación de claves para integridad referencial

Creo que todos debiéramos hacer una revisión de lo que estamos haciendo en este aspecto.

End-Point Security. Desafíos y soluciones ? Sergio Bollini

Datos de la realidad

• 90% de la pérdida de confidencialidad proviene del robo o pérdida de equipos
• Mucho riesgo por la proliferación de dispositivos móviles con gran capacidad de almacenamiento
• Trampas para intrusión (dejar un pendrive en un estacionamiento con malware y otros)

Solución

• Automatización del cumplimiento de políticas para los end-points
• Control de aplicaciones y dispositivos removibles
• Verificación de dispositivos removibles (identificación y autorización previa)
• Encriptación de datos NO optativa (tanto para datos en tránsito como para datos almacenados)
• AAA

• Autenticación fuerte (2 o más factores)
• Autorización de accesos
• Auditoría

Para tener en cuenta

• Lograr la aceptación de los usuarios a través de una buena comunicación, entrenamiento y facilidad de uso
• Impacto en el negocio (configuración y falta de procesos)
• Integración con herramientas existentes
• Enforcement (procedimientos y soluciones centralizadas)
• Entrenamiento sobre regulaciones, políticas y mejores prácticas
• Adecuación del Help Desk o Service Desk
• Definición del Security Awareness Program
• Armado de grupos de estudio, foros, tutoriales y posibilidad de herramientas de e-learning

Las leyes que nos protegen ¿Cuál es el grado de entendimiento? ? Julia Enríquez

Leyes existentes con más de nueve años y un solo fallo.

Dificultad en la implementación por desconocimiento de los jueces, y de las partes

Obligación legal de registrar las bases de datos con información sensible, con auditorías vigentes

Falta de entendimiento sobre qué son datos sensibles y quién debe registrar

Tema para profundizar.

Web 2.0 en los entornos corporativos ? Gabriel Marcos

Los ataques están mudando de hacerse sobre la tecnología a hacerse sobre o a través de las personas, consiguiendo datos del personal de las empresas en las redes sociales y vulnerando claves.

Algunas recomendaciones:

• Medición de riesgos recurrentes y planificación de acciones
• Auditoría de código para evitar puertas de entrada
• Aislar componentes de terceros
• Trabajar fuertemente sobre el registro de transacciones
• Capacitación y alerta al personal sobre qué datos es conveniente publicar y los cuidados necesarios en la Web 2.0

Para actuar ya!

Las redes sociales y la privacidad ? Graciela Gianoli

A partir de datos de la realidad que muestran que el 10% del tiempo en Internet es usado en redes sociales, se disparó un relato que en algún momento me hizo recordar a Matrix.

Paseamos por la teoría de los grafos, la de los 6 grados de separación, experimento del mundo pequeño y otros, llegando a la Web 3.0 semántica, geoespacial y 3D.

Y como si esto fuera poco, la Web 4.0 donde aparece la inteligencia colectiva, el cerebro global, la omnipresencia, la coordinación en tiempo real con el objetivo del conocimiento y enriquecimiento mutuo.

Tema realmente interesante que quizás no tuvo el mejor momento de presentación (casi el cierre de la jornada)