El congreso, del que hay que destacar su envidiable nivel de organización, incluía una jornada previa a las conferencias en las que se impartieron dos talleres: "Digital Forensics" (impartido por Lorenz Kuhlee, de Verizon) y "Cloud Security" (impartido por Tim J. Sandage y Gavin Fitzpatrick, ambos de Amazon). Dichos talleres, de media jornada de duración, se impartían en horario de mañana y tarde con el fin de facilitar la asistencia a todos aquellos interesados en los mismos.
Respecto las conferencias, se organizaban en seis tracks (las tres primeras el primer día, y las siguientes el segundo):
- Track 1: Mobile and Cloud
- Track 2: Analytics and Forensics
- Track 3: Risk and Governance
- Track 4: Technology, Business and the Future
- Track 5: Privacy and Data Security
- Track 6: Hackers and Threat Intelligence
Por otro lado, se incluían sesiones fuera de estos tracks, por parte de distintos keynotes y panelistas. Entre las ausencias, cabe destacar la de Howard A. Schmidt (Executive Director en SAFECode, con una dilatada experiencia y antiguo coordinador y asesor en materia de ciberseguridad de Barack Obama hasta el año 2012) que, aunque había sido anunciada su presencia, finalmente no pudo asistir.
De este congreso, destacaría tres aspectos: por un lado, el carácter internacional del mismo (tanto a nivel de ponentes como de asistentes), por otro, la clara orientación hacia el networking (con pausas para intercambiar impresiones cada dos horas aproximadamente) y, finalmente, la extraordinaria precisión (recordemos que se organizaba en Alemania) en cuanto al horario establecido en el programa.
PRIMER DÍA DE CONFERENCIAS
Tras recoger la acreditación y realizar los primeros contactos durante el tiempo del café, David Shearer (CEO de (ISC)2) inauguraba el congreso con una breve introducción y daba paso a los primeros keynotes. En esa mañana, especialmente interesante me resultaron las siguientes conferencias:
"The Cyberpsychology of Information Security: Managing Risk in Leaderless Environments"
La conferencia del Dr. Ciarán Mc Mahon (coordinador de investigación y desarrollo del CyberPsichology Research Centre, en Irlanda) se realizaba desde una perspectiva totalmente distinta a la que estamos acostumbrados, y analizaba el choque entre humanos y tecnología: qué impacto tienen las tecnologías emergentes en el comportamiento humano. En una de sus slides, se podia leer el siguiente mensaje: ¿es 2015 el año en el que la ciberseguridad muestra su lado humano? Expuso conceptos como comunicación persuasiva y como influir en la capacidad y motivación de las personas a la hora de prestar atención.
En la pausa de mediodía, tuve la oportunidad de conversar con el Dr. Ciarán y, tras un intercambio de impresiones, me mostró su interés por las posibilidades que podía llegar a ofrecer mi herramienta Tinfoleak en el análisis del comportamiento y conductas humanas a partir de la información públicada en redes sociales.
"The Science Behind The Analogies Project"
Bruce Hallas, fundador de The Analogies Project, nos expuso la filosofía del proyecto que lidera (y en el que puede colaborar cualquier persona). El objetivo es hacer entender la seguridad de la información a toda la sociedad. Para ello, utiliza analogías fácilmente identificables y comprensibles por cualquier persona, independientemente del sector en el que se encuentre. Por ejemplo, a través del paralelismo entre algo que la persona conoce o puede tener interés (como el deporte o la política) y un concepto de seguridad, se facilita la comprensión del mismo.
Bruce propuso un juego entre los asistentes. Pensar y describir ejemplos de analogías en una cartulina (previamente facilitada por la organización del congreso entre los materiales que recibían los asistentes) y facilitarla para formar parte de un concurso en el que se seleccionaría al día siguiente los ganadores.
Entre las sesiones de la tarde, cabe destacar la ponencia "Information Security in Nuclear Facilities: Notes from a High Threat, Highly Regulated Industry" de Andrea Cavin, colaborador de distintos organismos internacionales, entre ellos la ONU, en materia de seguridad en instalaciones nucleares. En su presentación, Andrea expuso la problemática de estos entornos "especiales", mostrando ejemplos de posibles amenazas (en los momentos que vivimos actualmente, una amenaza terrorista se encuentra claramente presente y gestionada en todos los gobiernos), el impacto en la sociedad y, sobretodo, el alto nivel de regulación existente en esta materia.
En una conversación con Andrea, tras su presentación, me comentó su nivel de extrañeza al observar el bajo nivel de participación de perfiles españoles en numerosos ejercicios de simulación de ataques (los famosos tabletop) sobre instalaciones nucleares que se llevan a cabo en distintos continentes. Máxime, cuando España dispone de este tipo de instalaciones y de personal altamente cualificado. Le hice saber que miembros de nuestro equipo de hacking habían participado en un tabletop organizado por CSFI (Cyber Security Forum Initiative), aunque coincidía con él en su visión global de la falta de recurrencia en este tipo de actividades por personal de nuestro país.
Una vez finalizadas las conferencias del primer día, (ISC)2 había organizado una cena donde, en un ambiente distendido (y como indicaba el propio CEO, David Shearer, "fuera trajes, con vestimenta casual") se facilitaba el networking entre ponentes y asistentes. A las 18:00h, tal y como recogía el programa, ya nos esperaban los autocares para desplazarnos hasta el restaurante donde tendría lugar la cena. A nuestra llegada, fuimos recibidos con un cocktail previo en el que se iniciaban animadas conversaciones. En un momento dado, Adrian Davis (Managing Director para EMEA del (ISC)2) nos llamaba la atención con un triángulo (el instrumento), que hizo arremolinar a todos los asistentes a su alrededor. David Shearer se subía en una silla para hacerse ver y oir mejor, y leía distintas notas con los motivos por los que los presidentes de varios capítulos de (ISC)2 eran premiados debido a un esfuerzo/dedicación especial en el último año. Cada uno de estos presidentes, recogía su premio entre los aplausos de los allí asistentes. A las 19:00h comenzamos la cena, repartidos en las distintas salas del restaurante. Como si del principio de un chiste se tratara, en mi mesa nos encontrábamos un australiano, un inglés, un italiano (Andra Cavina) y un español. Fue una grata sorpresa conocer que Andrea, con el que había conversado previamente en inglés, hablaba un perfecto español (eso sí, con acento mexicano).
SEGUNDO DÍA DE CONFERENCIAS
El segundo día se iniciaba, tras el café inicial, con una breve introducción a la jornada por parte de Rainer Rehm, presidente del capítulo alemán de (ISC)2. A continuación, tuvo lugar una interesante conferencia ("The Myths in Biometrics: Some Answers") a cargo de Alexander Nouak (Head of the Competence Center "Identification and Briometrics de Fraunhofer Institute for Computer Graphics Research, y co-funddador y presidente de European Association for Biometrics). Destacar el nivel de inversión que se realiza en Alemania en investigación. Por ejemplo, la organización donde Alexander Nouak realiza su trabajo (Fraunhofer), formada por 66 institutos y más de 24000 miembros, dispone de un presupuesto anual en investigación de 2.000 millones de euros. En su exposición, tras definir las características básicas de la biometría comentaba sus limitaciones, la falta de cumplimiento de los sistemas biométricos con los principios de privacidad de los datos (en Europa, la regulación de protección de datos se encuentra en desarrollo desde 2012), así como guías técnicas sobre socomo implementar requerimientos de privacidad y protección de datos (ISO/IEC 24745-2011: Biometric Information Protection) entre otros aspectos. Interesante también la idea que expuso en relación a que la biometría conduce necesariamente a la vigilancia de las personas.
Durante la mañana, realicé mi presentación "You are being watched..." en la sala principal, donde presenté la problemática asociada a la capacidad de obtención de información sensible, sobre cualquiera de nosotros, únicamente utilizando datos accesibles públicamente en redes sociales. Dejando de lado la vigilancia por parte de gobiernos u otras organizaciones, mi presentación se centraba en la capacidad real de la que dispone un usuario particular con unos recursos muy limitados, de obtener información privada sobre nosotros. Quizás alguien de nuestro entorno, o alguien ubicado a miles de kilómetros pero que nuestro perfil entra dentro del patrón de usuario que desea analizar, posiblemente con finalidades maliciosas. En mi presentación, eminentemente práctica, mostré funcionalidades que incorporará la nueva versión de mi herramienta Tinfoleak.
Ya en la tarde, tuvieron lugar dos sesiones interesantes, en la que todos los asistentes fuimos invitados a participar de forma activa. La primera, a cargo de la Dra. Sally Leivesley (Managing Director en Newrisk Limited) propuso un ejercicio: como manejar la respuesta a incidentes (momentos de crisis) relacionados con un ataque a suministros de energía en un pais. En grupos de 10 personas se formaron equipos, en los que durante 15 minutos se debía pensar en posibles incidentes que pudieran ocurrir y cómo se reaccionaba ante los mismos desde distintos ámbitos. Todo esto intentando ofrecer respuesta a 12 cuestiones planteadas previamente por la Dra. Leivesley (desde como se podía haber gestionado la ciberseguridad de forma previa al ataque, o como gestionar el aviso de comunicación posterior a la sociedad, presentar propuesta de alternativas y soluciones para continuar ofreciendo los servicios requeridos, etc.). Tras dicho tiempo, cada equipo seleccionaba un portavoz y presentaba brevemente sus planteamientos al respecto. Posteriormente, la Dra. Leivesley aportaba su visión sobre cada una de las exposiciones. Sobra decir que, dado el elevado número de equipos, no todos tuvieron ocasión de exponer los resultados de su deliberación.
La segunda de las sesiones "prácticas" en las que debían participar los asistentes, y perfectamente dinamizada por Adrian Davis (Managing Director EMEA de (ISC)2), consistía en un quiz en el que igualmente se conformaban equipos en la disputa de un premio. Las preguntas, clasificadas en distintas secciones, eran muy diversas: desde describir una de las vulnerabilidades con las que comprometer un dispositivo Android, indicar el nombre de la empresa de seguridad que sufrió un grave incidente en 2014, o describir tres de las vulnerabilidades que forman parte del Top 10 de OWASP. Para ello, cada equipo disponía de varias hojas con las preguntas. Tras el tiempo definido para redactar las respuestas, se intercambiaban las hojas entre los distintos equipos, y una vez Adrian facilitaba las soluciones (las preguntas eran puntuadas en función de su nivel de dificultad), cada equipo debía puntuar las respuestas que se encontraban en las hojas que había recibido. De esta forma, se obtenía una puntuación final por equipo. A continuación, se retornaban las hojas puntuadas al equipo que las había respondido. En ese momento, Adrian solicitó que todos los asistentes se pusieran en pie. Primero dijo: "aquellos equipos con una puntuación inferior a 5, pueden sentarse", a continuación: "pueden sentarse los equipos con una puntuación inferior a 8", y así sucesivamente. De esta forma, fueron eliminándose rápidamente equipos (cabe destacar que el equipo en el que me encontré, fuimos finalistas), hasta quedar un equipo ganador que recibía un premio por parte de (ISC)2.
Tras unas conferencias posteriores, dedicadas a IoT (Internet of Things) y tendencias en ciberseguridad, se clausuró el congreso.
Sin duda, un congreso muy recomendable y de exquisita organización. Especialmente resaltable, el aspecto que mencionaba al inicio de esta crónica: la clara orientación hacia el networking y la capacidad de atracción internacional.
Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader
Director Departamento de Auditoría.
