Mini Resumen Conf. B.Schneier
Hola a Todos!
Ayer llegué ultra tarde a casa y no mandé nada,… pero bueno, hoy voy a poner, con lo que me quedé yo de la conferencia (así de memoria y en plan por encima), así podreis completarlo o comentarlo:
Empezó haciendo un pequeño repaso a las vulnerabilidades de internet en los años 80, 90 y 2000. Como conclusión llegó a que las amenazas de hace décadas siguen con nosotros, mientras que siguen apareciendo nuevas amenazas que se unen a las anteriores, así Internet y sus amenazas, crecen a mayor ritmo que la seguridad en la misma, por lo que cada vez Internet es un lugar más inseguro.
Siempre ha habido amenazas, y siempre las habrá,… pero el riesgo de las mismas se mide en función a la probabilidad de que ocurran y tamaño de la pérdida en caso de que lo hagan.
Las empresas ven la seguridad como algo que se pone cuando todo lo demás ya está (features, rendimiento, etc.) y no se le ve la ventaja de incluirlo (económicas), salvo un poco de mala prensa… tiene que estar forzado desde el “exterior". Ese “exterior” serían las normativas o leyes locales o nacionales, además de las responsabilidades legales exigibles a las personas implicadas en la seguridad. Es por ello que comenta la entrada en juego de las compañías aseguradoras, que velarían por un cumplimiento “real y efectivo” de la seguridad y no instalaran herramientas solo por “dar el pego", es decir, se ceñirán a las “buenas prácticas” establecidas. Además el hecho de convertir un gasto variable que resulta de tener seguridad o de no tenerla, se convertiría en un gasto Fijo, presupuestable por la Gerencia. Incluso se podría calcular un incremento económico por hacer las cosas bien en cuanto a seguridad, que no haciendolas (ahorrar por seguir las buenas prácticas). “Tweak the Risk equation with economy, to convince the CEOs". Incluso hizo un paralelismo entre “security” y “polution” en las empresas.
Una idea perturbadora,… las compañías aseguradoras tirarían de empresas de seguridad las cuales sigan los estándares de “Buenas Prácticas” de una manera comprobable, por lo que con este modelo, toda seguridad de empresa no dedicada al tema, iría vía Outsourcing. Adios al seguro si nos instalamos nuestro iptables+squid+dansguardian/squidguard,… a no ser que pudiera ser certificable la instalación por terceros.
El futuro de las amenazas en Internet, lo ve como que tiende hacia la criminalización más que hacia las “gamberradas” informatico-lúdicas. Hace por tanto una comparativa entre la manera de evitar el crimen en el mundo real e intentar transladarlo a Internet en lo referente a imposición de sanciones-penas en base al crimen, para que la gente sea reacia a cometer dichos cyber-crímenes. Para ser perseguibles dichos crimenes, como comentaba un chico en una pregunta, pudiera perderse el anonimato de internet,… lo cual podría ser un precio demasiado alto,… en cualquier caso, no veo yo claro como se podría conseguir esto.
Para alcanzar seguridad, se necesitan tres elementos: Tecnology, process and People (me gustaría algún ejemplo de la vida real de esto para entenderlo bien).
Finalmente, Pablo Garaizar (Txipi) le hizo una pregunta sobre DRM y ese tipo de tecnología, y él argumentó que era una lucha política más que técnica,… yo eso no lo veo claro, me gustaría que lo ampliara más.
En fin,… hasta aquí mi mini-resumen,… si alguien se quedó con algo más que fuera importante, que haga comentarios al respecto (o si ve cosas que no pillé bien aquí,… que es más que posible).
Agur…