En mi post anterior escribí sobre algunnas charlas de este gran evento de seguridad (Security-Zone) en nuestro país. Pues bien, quiero hacer mi última entrega sobre las charlas que serán dictadas. Continúemos entonces con una descripción de las mismas:

David Kennedy (USA):(in)Seguridad Tiene Sentido

  • Seguridad es una de esas cosas que está fuertemente regulada, es altamente política, y a menudo se convierte en algo complejo. Nos han enseñado desde el primer día en nuestras carreras que fórmulas de riesgo, consultores expertos, Gerencia, y las herramientas de seguridad más recientes, nos llevarán a una utopía de seguridad. Estoy aquí para decirles que se olviden de todo eso y aprendan a ver otra perspectiva, que seguridad es realmente simple.
  • En esta discusión vamos a caminar a través de la evolución de la seguridad, dónde estábamos, dónde estamos y hacia dónde vamos. Procesos engorrosos, soluciones tecnológicas, y la complejidad han paralizado la industria de la seguridad, tal como lo conocemos. Esta charla se centra en los problemas que enfrentamos, en que dirección se dirige, y en que dirección necesitas ir.
  • Con el estilo del presentador, Kennedy demostrara algunos vectores de ataque de vanguardia, mostrando trucos nuevos, y como estos burlan soluciones de seguridad que superan los millones de dólares.

Chris John Riley (Austria): SAP (in)seguridad: Dejando a SAP limpio con SOAP

  • En el centro de cualquier gran empresa, se encuentra una plataforma mal entendida y temida por todos pero los más valientes administradores de sistemas. El hogar de una gran cantidad de información, y la llave de la sabiduría infinita. Esta plataforma es SAP. Durante años este sistema ha sido uno de los elementos del “lápiz rojo” en muchas pruebas de penetración y auditorías… pero no más! Ya no vamos a aceptar los gritos de “aplicación crítica para la empresa, no hace parte del análisis de seguridad».
  • El tiempo para SAP ha llegado, el punto de mira de los atacantes se centra firmemente en la parte más vulnerable que es el ERM, y es nuestro deber hacer lo mismo. Únete a mí cuando demos los primeros pasos en la exploración de SAP y la extracción de la información. Deje su licencia de Nessus en la puerta! Es hora de fregar el sistema SAP limpia con SOAP! (jabón).

Chris Nickerson (USA): Cumplimiento: Asalto a la Razón

  • Usted ha hecho auditorias ISO / PCI / HIPAA / SOX / FISMA, 10 Pentests, 20 evaluaciones de vulnerabilidad, revisión de código, pruebas de aplicación y suficiente documentación como para alimentar el fuego durante todo el invierno … ¿pero qué ha conseguido?. Recibió una factura enorme y un hardware estable de todos los productos de seguridad más recientes. ¿Y ahora qué? ¿Está usted seguro? Será suficiente los millones que gastó en hardware, software y cumplimiento para protegerse de los “chicos malos?” Nunca se puede saber … pero por lo menos mercadeo, dice que “Si.” Incluso si cumple con lo prometido, y si lo protege de estos Frbataques, protegerá su negocio? La respuesta: probablemente no!
  • Durante demasiado tiempo, las pruebas se han enfocado en los activos físicos e ignorado lo que más importa …. SU NEGOCIO.
  • Esta sesión discutirá cómo podemos cambiar el paradigma. Tire a la basura el # de direcciones, el registro de cumplimiento, el libro de lo que “piensa” que es importante y vamos a trabajar en las pruebas de la capacidad de las empresas a sobrevivir a un ataque. Vamos a revisar la forma de evaluar lo que importa y le mostrare las técnicas que los “chicos malos” utilizan para forzar la entrada. Al fin, se trata de proteger esa formula especial que hace que su empresa sea única. Que importa si le dan una multa por ser “No Conforme” si ya ha sido hackeado fuera del negocio.

David Marcus (USA): Medios de Comunicación Social y la Re-definición de Privacidad

  • Privacidad está muerta, y los usuarios de los medios de comunicación social lo han matado. Los medios de comunicación social y la creación de redes sociales han transformado la manera en que las personas se comunican entre sí y cómo las organizaciones hacen negocios. Sin embargo, tenemos que mirar más de cerca cómo los medios sociales han afectado el concepto de privacidad.
  • La mayoría de los usuarios y las empresas no son conscientes de como la cantidad de datos compartidos o publicados en un sitio son compartidos en otros sitios. Cuando las tecnologías como los dispositivos móviles y servicios de posicionamiento global se añade a esta mezcla, y nuestras vidas física se unen con nuestros seres virtuales, la pregunta es: ¿Cuáles son las ramificaciones de esta sobreexposición?
  • Esta sesión se centrará no sólo en los tipos de información que las empresas y los usuarios están compartiendo a través de los medios de comunicación social y redes sociales, sino también en cómo estos datos pueden ser recopilados, analizados y utilizados en su contra. También vamos a discutir que pueden hacer los usuarios y las empresas para recuperar el control de sus datos y su identidad.
  • Esta presentación mostrara a la audiencia el conjunto más poderoso de herramientas jamás creado para el investigador astuto: Bing, Twitter, Facebook, y una variedad de otros sitios de medios sociales. Demostraremos como un cibercriminal mina estos sitios por palabras claves, utiliza tendencias y temas actualizados, e incluso la información del GPS, para poder estafar, chantajear, o someter a cualquier otro ataque basado en la ingeniería social, a individuos o empresas.

Areas que cubriremos durante la presentación:

  • Información Open Source.
  • Redes Sociales e información.
  • La “conversación” y por que es permanente.
  • Minando redes sociales como Twitter, Bing y otros
  • Creacion de senuelos de ingenieria social que nunca fallan!!!

Los asistentes podrán obtener una mejor comprensión del poder y los peligros de la ingeniería social y los riesgos potenciales de tecnologías Web 2.0, especialmente tecnologías de redes sociales, presentes en el mundo digital actual.

Robert Clark (USA): Aspectos Legales de Cyberseguridad y un año en retrospección

  • Esta presentación analiza los aspectos legales de seguridad cibernética y las múltiples organizaciones que trabajan en conjunto para tener éxito en la seguridad/defensa de redes de computación. Además, vamos a hablar de algunos casos notables de los últimos años que afectan la seguridad de Internet e informática. La intención de esta presentación es explicar con claridad y sencillez (en términos no jurídicos) los fundamentos legales de la seguridad/defensa de redes de computación. Cubriremos muchos temas diversos como vigilancia/monitoreo en el trabajo y las leyes de seguridad de informacion. Como siempre, esta presentación se convertirá rápidamente en un foro abierto para preguntas y debate.

James Arlen (Canadá): Seguridad cuando Nano-segundos son importantes

  • Hay una frontera nueva de seguridad de TI – un lugar donde las “mejores prácticas” ni siquiera contempla la inclusión de un firewall en la red. Esta frontera se encuentra en el más improbable de los lugares, donde se presume que la seguridad es una práctica madura. Bancos, Instituciones Financieras y Seguros, empresas de Trading de alta velocidad, Trading de alta frecuencia, Trading de baja latencia, Trading algorítmico – todas las palabras para las operaciones electrónicas cometidos en microsegundos sin la intervención de los seres humanos.
  • No hay servidores de seguridad, todo es hecho en casa y nada de eso es seguro. Es SkyNet para el dinero y es lo que está sucediendo ahora.

 

David Moreno (COL): Pornografía Infantil en Internet: Modalidades y Persecución

  • La conferencia Pornografía Infantil en Internet hace un recorrido de manera directa en el “modus operandi” de los predadores en la red, dando a conocer las técnicas utilizadas por los pederastas y ciberacosadores para atacar a sus víctimas.
  • Las Modalidades cubren temáticas en las cuales se relacionan el Cyberbullying, Sexting y Cybergrooming.
  • La Persecución, muestra algunas de las técnicas, tácticas y herramientas elaboradas por el proyecto Anti-Depredadores que actualmente son utilizadas por entidades gubernamentales para el seguimiento de casos específicos de estos delitos.

 

Por otra parte, y digno de un gran evento como este, les comento que está confirmda la asistencia de este gran profesional de la seguridad a nivel mundial:

Richard H.L. Marshal, Esq. (USA)

  • El Dr. Marshall, quien hace parte del Senior Cryptologic Executive Service (SCES) y el Defense Intelligence Senior Executive Service (DISES), es una autoridad reconocida a nivel nacional e internacional en temas de seguridad nacional y leyes de seguridad nacional como también en cuestiones relacionadas con políticas técnicas de seguridad cibernética, y protección de infraestructuras críticas. Actualmente se desempeña como Director de Global Cyber Security Management, National Cyber Security Division, Department of Homeland Security (DHS) mediante un acuerdo especial entre el Director de la National Security Agency (DIRNSA)y el Secretario del DHS. Él lidera la dirección y ejecución del programa de National Cybersecurity Education and Workforce Development Strategy; Software Assurance; Supply Chain Risk Management; y Research and Standards Integration Programs. En esta capacidad, el trabaja en estrecha colaboración con el DHS S&T y las contrapartes adecuadas en el NIST y la NSA.
  • Es un líder ejecutivo de alto nivel reconocido y apreciado por su política de savoir-faire y el sentido común junto con una capacidad para construir relaciones significativas y ofrecer resultados positivos. Altamente respetado por la White House (Consejo de Seguridad Nacional) y Congresistas, Departamento de Defensa, Departamento de Seguridad Nacional, Departamento del Tesoro, y lideres del sector privado – particularmente del sector financiero – por su maestría en la materia y sus habilidades en formulación de políticas.
  • Dr. Marshall es muy codiciado como orador, panelista y moderador en conferencias y simposios en temas de tecnología de la información, legales y de políticas. Ha dirigido diversas conferencias internacionales en el Reino Unido, Alemania, India y América del sur; ha liderado conferencias jurídicas sobre operaciones de información, la seguridad de la información y la garantía de las infraestructuras críticas para el Departamento de Defensa, Ejército, Armada y Fuerza Aérea, dos veces compartiendo el podio con el Secretario de la Fuerza Aérea y una vez con el ex Vicepresidente de los Estados Unidos.
  • Ha testificado ante numerosos subcomités del Congreso y se ha distinguido como profesor invitado en la National Defense University (NDU), el Industrial College of the Armed Forces, Stanford University, George Mason University, George Washington School of Law, Boston University, Duke University, the University of Virginia, University of Detroit-Mercy, University of Maryland y varias otras universidades en miríada de temas legales relacionados con el aseguramiento de información y seguridad nacional.
  • Anterior a su cargo actual, Dr. Marshall actuó como el Senior Information Assurance (IA) Representative, Office of Legislative Affairs en la National Security Agency (NSA) donde el fue el punto de contacto de la NSA para todo lo pertinente a aseguramiento de información sobre el Congreso de USA. Ideó la estrategia legislativa IA, ayudó a formular la aprobación de la ley de vigilancia de inteligencia extranjera y fue instrumental en la formulación de la iniciativa de seguridad cibernética nacional integral. Previamente fue seleccionado por el Cyber Advisor a la Presidencia, para actuar como el Deputy Director, Critical Infrastructure Assurance Office (CIAO), donde el lideró a 40 profesionales dedicados al desarrollo, coordinación e implementación de la Estrategia de Seguridad Nacional de Protección de Infraestructuras Críticas y la Estrategia Nacional de Seguridad Cibernética para combatir las posibles amenazas a las infraestructuras criticas nacionales.
  • Desde 1994 a 2001, el Dr. Marshall sirvió con distinción como Associate General Counsel for Information Systems Security/Information Assurance, Office of the General Counsel, National Security Agency. En esa capacidad, el Dr. Marshall proporcionó asesoramiento y consejo en materia de telecomunicaciones de seguridad nacional y las políticas de transferencia de tecnología, los programas nacionales de seguridad técnica de seguridad de telecomunicaciones, la Asociación Nacional de Aseguramiento de la Información, el Acuerdo de Reconocimiento Mutuo de criterios comunes, las iniciativas legislativas y el derecho internacional. El Dr. Marshall fue el arquitecto del programa “Eligible Receiver 97” liderado por los Joint Chiefs of Staff, el cual ayudó a identificar muchas de las vulnerabilidades cibernéticas de las infraestructuras vitales de la nación y ayudó a que el liderazgo nacional se enfocara en este tema tan importante y vital para la nacion.
  • El Dr. Marshall representó con éxito a los Estados Unidos en dos casos de alto perfil en el Reino Unido: una cuestión civil de la Fuerza Aérea de Estados Unidos con una cantidad en juego de casi mil millones de dólares, y un asunto penal para el Government Communications Headquarters (GCHQ) y la NSA, donde el compareció ante la Corte Superior de Justicia de Londres como el abogado principal de EE.UU.. En cada caso, en gran medida a través de sus esfuerzos, los Estados Unidos prevaleció.
  • Dr. Marshall fue reconocido por la revista CS como uno de los cyber-profesionales de seguridad informática más influyentes de la nación que ayudó a dar forma a la industria de seguridad de la información. La Universidad de Detroit-Mercy también estableció el Premio Richard H. L. Marshall Information Assurance Award en reconocimiento por sus contribuciones a la educación de INFOSEC. Recientemente fue nominado para el prestigioso premio GVOTek Executive Government Technology Award.
  • Dr. Marshall es graduado del Citadel con un B.A. ien Siencias Politcas.; Creighton University School of Law con un J.D. en Jurisprudencia; Georgetown School of Law con un LL.M. en International and Comparative Law; fue un Becario en National Security Law Institute, University of Virginia School of Law, atendió Harvard School of Law Summer Program for Lawyers; Georgetown University Government Affairs Institute on Advanced Legislative Strategies y participó en Information Society Project Yale Law School.

Y hasta el momento, estos son los speakers…. la organización me ha comentado que segiran las sorpresas…… es posible que yo mismo les de una ;)

Abrazos…..

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *