lunes, 8 de junio de 2009
Gestión de Identidad en la Era Digital (2da Jornada)
Es la primera actividad de la serie prevista para el año 2009 por CXO Community. Contó con la participación de más de 140 profesionales especializados en tecnología y en seguridad empresarial.
Buenos Aires, 12 de mayo de 2009 - Organizada por CXO Community, Dixit Comunicación de Negocios, y con el apoyo de la Universidad del CEMA, se realizó la II Jornada de Gestión de la Identidad en la Era Digital.
Como primer encuentro del 2009 se inició la serie temática especializada en Seguridad de la Información, generando nuevos cambios de paradigmas frente a las innovaciones planteadas a las redes sociales. Se dio tratamiento a los aspectos de mayor actualidad relacionados con la gestión de la identidad: aspectos legales de la privacidad en las redes sociales, plataformas Web 2.0 en los ambientes corporativos, la gestión de los usuarios sensitivos, enmascaramiento de la información, endpoint security, capacidades actuales sobre cómo obtener información de las personas en Internet, la ley de protección de datos personales, y el futuro hacia la Web 3.0 y 4.0
El encuentro fue auspiciado por las empresas Global Crossing, Intel, Lightech, Penta Security Solutions e Identidad Robada.
En la sede de la Universidad del CEMA, Av. Córdoba 374 Capital Federal, se realizó la Segunda Jornada de Gestión de la Identidad en la Era Digital. Más de 140 asistentes congregados en el Auditorio Principal, en esta jornada de día completo, pudieron apreciar las ponencias de destacados referentes del mercado de la Seguridad de la Información y Derecho Informático.
Inicialmente Juan Manuel Calvo, profesor de la Carrera de Ingeniería en Sistemas del UCEMA, brindó sus palabras de bienvenida al auditorio presente.
La apertura de la jornada fue realizada por Daniel Monastersky, Abogado y CEO del sitio Identidad Robada (www.identidadrobada.com) abordando la temática de las “Implicancias legales del uso de las redes sociales”.
El inicio de la exposición se basó en estadísticas y el crecimiento de las redes y los hábitos de los cibernautas usando herramientas Web 2.0. El conocimiento de estas herramientas y la manera de cómo utilizar este tipo de comunicación actualmente es solicitado por empresas, donde ya es considerada como un ítem a evaluar dentro el departamento de recursos humanos. ¿Qué herramientas se encuentran disponibles para la obtención de la información que las personas dejan en Internet? En este sentido se debatieron las distintas acciones que las empresas realizan en virtud de controlar a los empleados por el uso indebido de las Web 2.0. ¿Qué riesgos legales y no legales genera el control de los empleados para la organización? En este tópico se desarrollaron casos internacionales puntuales y problemáticos que presentó discusión entre los presentes.
Como conclusión Daniel resaltó: “La inclusión de plataformas de la Web 2.0 en la empresa también debe ser analizada jurídicamente, haciendo hincapié en las fortalezas y debilidades que eso implica. Habrá un mayor control del empleado, pérdida de privacidad y mayor posibilidad de realizar el tracking de su actividad. El consentimiento expreso del trabajador será necesario para poder realizar un monitoreo de su perfil. La empresa tendrá más herramientas e información para conocer a su empleado, quien será el único responsable de crear su identidad digital y de mantener la buena reputación online.”
Sobre la línea investigativa que ofrecen los servicios de información de Internet y las facilidades del mundo de las redes sociales, Ezequiel Sallis, Director de Investigación y Desarrollo de Root-Secure (www.root-secure.com) desarrolló el segundo segmento titulado “Puzzle Hacking - The Human Factor".
En un ataque dirigido, el primer paso que los atacantes deben dar, es obtener la mejor información de su objetivo. La habilidad de realizarlo de manera pasiva es lo que lo hará permanecer en el anonimato y ser mas efectivo. Los reconocimientos pasivos comprende la búsqueda de toda la información relacionada con el objetivo y con el personal del objetivo, de manera de no interactuar con los mismos. Entre las modalidades mas conocidas existen están: los espías, agentes secretos, análisis de comunicaciones, señales, inteligencia fotográfica o satelital, entre otras. Pero la mas utilizada para encontrar, seleccionar y adquirir información por fuentes públicas son las relacionadas con OSINT (Open Source Intelligence). Estas brindan un beneficio y valor de la información del 80% con un 5% de costo y esfuerzo, frente a las otras herramientas.
Google, las herramientas de búsquedas y la Web 2.0 conforman el OSINT 2.0: que son repositorios de información relacionada con la administración de identidad más grandes e informales del mundo virtual, y por ende, mayormente una de las más descuidadas. ¿Conocemos que información referente a nuestra organización está disponible de manera pública? En un mundo Web 2.0 ¿Sabemos cuanta de esta información es aparentemente inútil por si misma pero muy útil si se la relaciona con otra información pública? ¿Estamos listos para enfrentarnos a una manipulación más eficiente de datos en al inminente Web 3.0?
Ezequiel concluye con una frase de Albert Einstein: “Todos somos ignorantes, pero no todos ignoramos la mismas cosas”.
El Lic. Pablo Huerta (Socio Fundador) y el Ing. Agustín Zorgno (Consultor de Gestión del Riesgo y Seguridad IT) en Penta Security Solutions (www.pentass.com), desarrollaron de manera teórica-práctica la presentación titulada “Usuarios sensitivos: Problemática y Gestión”.
Los usuarios sensitivos son usuarios con perfiles críticos y de máximos privilegios en los sistemas, aplicaciones e infraestructura tecnológica. Las actividades que con ellos se realizan deben ser controladas y monitoreadas, en base a que su mal uso puede afectar a la continuidad del negocio de la empresa. Las complejidades de los sistemas actuales, las cantidades de plataformas y aplicativos que hoy utilizan las empresas implican que exista al menos uno de estos usuarios privilegiados por cada sistema, lo cual incrementa considerablemente su administración. El alcance del problema abarca a quienes utilizan estas cuentas, quienes controlan esas cuentas, y donde se conservan las credenciales de autenticación. En base a la problemática planteada se efectuó una presentación práctica del sistema Pitbull KeyHolder en referencia a la administración de este tipo de usuarios y contraseñas.
El Lic. Pablo Huerta resumen concluyendo: …“Cuando hablamos de IDENTIDAD, no podemos olvidar que hablamos de un conjunto de rasgos propios de un individuo que los caracterizan frente a los demás. Llevar esta definición en la era digital conlleva a diferentes aspectos a tener en cuenta, como por ejemplo que: A) menos del 50% de la población argentina tiene acceso a Internet; B) el desarrollo de aspectos legales esta en sus primeros pasos (como son La Ley de Protección de Datos Personales y La ley de Delitos Informáticos); C) la conciencia en temas de seguridad y privacidad, necesita de un periodo de madurez; D) la explosión en el uso de redes sociales comienza a mostrar aspectos negativos no contemplados por los usuarios de estos sitios.
Estos y otros aspectos, hacen tener en cuenta desde el ámbito empresarial la necesidad de preservar la "identidad digital" de sus miembros para evitar situaciones no deseadas y permitir continuar con el crecimiento de la tecnología de la información. Es por ello, la importancia en la adecuada gestión de: A) Los usuarios sensitivos: usuarios con elevados privilegios sobre las tecnologías que ante un uso mal intencionado pueden afectar la identidad de las personas en los sistemas de información; B) Los dispositivos móviles como son notebooks y smartphones que posibilitan el traslado de información altamente sensitiva por fuera del ámbito físico de las organizaciones; C) La concientización de los usuarios dentro de la organización sobre los riesgos del uso de las nuevas tecnologías versus sus beneficios para intentar lograr un balance minimizando impactos.
La identidad en la era digital es un tema que necesita ser tratado con seriedad para evitar que los beneficios de la tecnología se conviertan en armas de doble filo”…
Gonzalo Angeleri, Regional PreSales Manager y Dante Wojtiuk Senior Consultant en Focus Business Solutions (www.focusbs.com), abordaron uno de los principales puntos de interés en la protección de la información de las empresas: “Enmascaramiento de datos”.
La exposición se inició con la presentación del cuadro de situación actual del ciclo de vida de los datos en las empresas, la gestión de los ambientes tecnológicos corporativos, la evolución de los preceptos de la seguridad relacionados y las regulaciones internacionales que buscan proteger los datos de personales y corporativos. Luego se abordaron casos concretos actuales, tales como, los datos de las empresas que son utilizados en los diferentes ambientes (Desarrollo, QA, Test, Proveedor, Producción) y el riesgo que conlleva el uso de los anteriores en la seguridad de la información. ¿Cómo se logra la des-identificación de los datos en ambientes no productivos? El enmascaramiento en conjunto con un proceso automático y metodológico de trabajo, es la solución correcta. Gonzalo presentó en detalle los datos que actualmente son de interés de protección en las empresas, dando lugar a Dante en la exposición del Caso Santander sobre la solución abordada en este aspecto. Gonzalo Angeleri a modo de conclusión recomendó: “Hoy es crítico para las empresas proteger los datos que tiene almacenados en ambientes no productivos contra el acceso y uso de información confidencial. Las soluciones de gestión de ambientes de prueba y en particular el enmascaramiento de datos son claves para lograr este objetivo”.
Sergio Bollini, Director de Tecnología de Lightech (www.lightech.biz), inició la segunda parte de la jornada y ahondó uno de los principales riesgos de pérdida y robo de la información: “Endpoint Security. Desafíos y Soluciones”.
La evolución de las tecnologías aplicadas a la seguridad de la periferia mejora cada día y las empresas mayormente están aseguradas frente a ataques externos. Su preocupación actual radica en los ataques desde el interior de la compañía causados por personas de manera intencional o accidental. Sergio complementó esta tendencia, con el incremento del uso de los dispositivos móviles corporativos y el riesgo de pérdida de información confidencial de valor al negocio: “El 60% de los datos corporativos reside en dispositivos móviles desprotegidos. Se espera que en el 2011 estos dispositivos se multipliquen por cinco. Los almacenamientos USB crecen enormemente cada año. ¿Cómo afrontar este riesgo latente? Un plan actualizado de EndpointSecurity que integre AAA+Encripción+Enforcement.
Los componentes de una solución EndpointSecurity, permiten tener un plan de acción completo que focalice en asegurarse la protección del dispositivo como punto terminal de utilización de los activos de información. Los componentes de la categoría AAA, concentran los temas vinculados a la Autenticación fuerte, Autorización y Auditoría/Reportes. Los componentes de Encripción están asociados a los datos en tránsito y datos almacenados en el flujo de comunicaciones entre el endpoint y puntos medios y centrales. Y por último el Enforcement, con gran foco en el control y monitoreo, integra la automatización del cumplimiento de políticas de seguridad, el control de las aplicaciones y dispositivos móviles, y la verificación de los dispositivos. Sobre estas soluciones, se desarrollaron algunas de las tecnologías (RSA Security, CheckPoint y F5) que permiten mitigar la amenaza de pérdida, mal uso o abuso de la información.
En la exposición de Julia Enríquez, Abogada Especialista del Estudio Carranza Torres & Asoc (www.carranzatorres.com.ar), se ahondó puntualmente en los aspectos legales asociados a la protección de datos personales, bajo el título de “Las leyes que nos protegen, ¿cuál es el grado de entendimiento?”
Las definiciones en un marco de Ley siempre prestan al debate y la interacción con el auditorio. Es así que esta presentación no fue ajena a este marco. Julia expuso, dentro de la Ley de Protección de Datos Personales, las definiciones, alcances, derechos y obligaciones. El devenir expositivo sobre los datos de clientes, proveedores y de recursos humanos dentro de las empresas, fue el hito principal de observación, dado que cualquier organización posee estos tipos de bases de datos y no muchos conocen cual es el grado de protección a las cuales ellas deben ser afectadas. Dentro de los deberes de los responsables (empresas) de dichas bases de datos, se explicaron los pasos mínimos necesarios a realizar según la Ley: registro de la base, brindar información a los titulares de los datos, conservar los datos según lo estipulado, secreto de resguardo, implementar medidas de seguridad y permitir el derecho de acceso, rectificación, cancelación, supresión y bloqueo de datos. Dentro de las medidas de seguridad, se expusieron los niveles de seguridad a cumplimentar y las fechas de cumplimiento: Nivel Básico 9/2007, Nivel Medio 9/2009 y Nivel Crítico 9/2010.
El momento más crítico de la exposición sucedió cuando se desarrollaron las responsabilidades del tratamiento de datos personales por cuenta de terceros, en relación no solo a las contrataciones de servicios (outsourcing) generales, sino aquellas donde existe un servicio hosteado en otro país o bajo el esquema de SaaS donde se entremezclan los aspectos legales de los países intervinientes.
Gabriel Marcos, Product Manager Datacenter, Security & Outsourcing en Global Crossing (www.globalcrossing.com), abordó la temática de las redes sociales desde el seno mismo de las empresas corporativas y como estas herramientas iniciadoras de la Web 2.0 pueden generar riesgos de seguridad, es por ello que el título de esta presentación ha sido: “Web 2.0 + Identidad Digital = Riesgos en entornos corporativos”.
El conjunto de actividades que generan valor al negocio conviven con los riesgos que las mismas actividades dejan en un balance de oportunidades y amenazas que la organización afronta. Históricamente, los riesgos existían a través del hecho fílmico donde “hackers” vulneraban la seguridad de las empresas, con altos grados de conocimiento en tecnología e informática. En la actualidad, se suma un nuevo paradigma colaborativo, con herramientas menos tecnológicas y de más “sentido común”, que permiten a los “hackers de hoy” actuar con mayor rapidez, eficacia y con el anonimato que necesitan, aprovechando lo que denominan “vulnerabilidades de los procesos y las personas”. Las herramientas de la Web 2.0, le permiten la combinación perfecta: personas, activos y procesos, para quebrar y alcanzar los activos de información valiosos en el mercado delictivo.
En estos entornos 2.0, los riesgos consisten en la posibilidad de vulnerar los sistemas de protección a través de técnicas de ingeniería social que se basan en el uso habitual que las personas hacen de la tecnología, y de los peligros inherentes a temas intrínsecamente relacionados, como ser la identidad digital. La falta de concientización y capacidades en estas plataformas dejan brechas de seguridad que pueden ser abiertamente utilizadas para generar en una corporación una crisis de continuidad del negocio, desvalorización de marca y pérdida de confianza de clientes y accionistas, entre las más habituales y destacadas
En el cierre de la jornada, la Dra. Graciela Gianoli, Responsable del área de Derecho Informático del Instituto Federal de Estudios Parlamentarios (IFEP) del Honorario Senado de la Nación, Abogada Especialista en Asesoría Jurídica, desarrolló el pasado, presente y futuro de la privacidad en las redes sociales, basado en una investigación realizada recientemente. El desarrollo de esta investigación se expuso con el nombre de “Redes Sociales y Privacidad: Del problema del mundo pequeño a la realidad de un gran mundo”, y complementada el artículo de tapa de la revista impresa #6 de CXO Community.
El tiempo utilizado en redes sociales y blogs es aproximadamente el diez por ciento del utilizado en Internet, más que el usado en el correo electrónico. Ocupan el cuarto puesto, por detrás del tiempo utilizado para las búsquedas online, las páginas de interés general y las páginas de software ¿Cuánto de nosotros dejamos en este diez por ciento?¿Somos plenamente conscientes de lo que dejamos?, iniciando su disertación la Dra. Graciela Gianoli.
El concepto académico de redes sociales se basa en la teoría de grafos, donde cada persona mantiene algún tipo de vínculo con otras tantas, y estas con otras más. En relación a la Teoría de los 6 grados de separación, indica que una determinada persona puede contactarse con cualquier otra que no conoce, no más allá de 6 contactos o instancias de contactos a través de su red social y las de sus relaciones. Este cuadro de conexión y filosófico social, determina un achatamiento de relacionamiento donde el modelo de “mundo” se ve simplificado y reducido a estos canales de comunicaciones social. Dentro de esta red existen actores, donde cada uno de ellos cumple un rol pasivo o activo de acuerdo al contexto que se encuentre cada vez. Basado en los 3 pilares de las redes sociales se establecen las 3 Cs: Comunicación, Comunidad y Cooperación. En este núcleo participativo la identidad digital identifica a las personas “físicas” en esta red digital de vínculos sociales. ¿Pero todos son lo que dicen ser? ¿Conocemos que dejamos público y privado de nuestros perfiles en estas redes? Si a ello le sumamos el cambio de paradigma de cómo la Web se presenta y presentará en el mediano plazo, los conceptos de privacidad digital deberían ser reformulados.
La Dra. Gianoli, abordó el planteo de lo que va a suceder sobre la Web 3.0 y 4.0, desarrollando el concepto de web semánticas, web geo-espacial, redes inteligentes, agentes inteligentes, base de datos distribuida, mundos sintéticos, mundos paralelos y nuevos perfiles de comportamiento. En lo particular al futuro cercano de la Web 4.0, la inteligencia colectiva. Esta inteligencia está basada en la teoría del cerebro global, donde se compara las relaciones activas neuronales, con la actividad activa y pro-activa de las redes digitales en el mundo, donde el conocimiento se enriquece de manera mutua, se coordina en tiempo real, valorada y contrastada de forma continua, omnipresente y de complementariedad entre los participantes.
Para finalizar, Graciela cerró la jornada con las siguientes palabras para reflexionar: “La Web evolucionará y adquirirá conciencia, no será solo una máquina conciente que aprende, sino una red que se auto-organiza y adquiere conciencia de si. ¿Será esto posible? No lo sabemos todavía… Pero siempre, será una Empresa Humana… basada en lazos de colaboración”.
Escrito por Oscar Andres Schmitz