SecurityInside Live: ASLAN 17

Este año, SecurityInside va a estar en el evento ASLAN 2017, que tiene lugar en el palacio municipal de congresos de Madrid. @asLAN es una asociación sin ánimo de lucro, formada por más de 90 empresas tecnológicas. Unidos por la innovación, desde fabricantes a proveedores de servicios gestionados, encuentran en la Asociación un entorno neutral y ágil para dinamizar el mercado y divulgar nuevas tecnologías en torno a la red.

Leer más

rooted17

SecurityInside Live: RootedCON 17

Un año más, preparo la mochila y me voy a pasar los próximos tres dias a Kinépolis para disfrutar de mi congreso de Seguridad favorito: la RootedCON. Si te interesa, puedes repasar lo que nos gustó (o no) de la edición 2016. ¿Nos habrá leído Román y este año tendremos café?

Leer más

rooted_16

SecurityInside en la RootedCON 2016

De nuevo llegó el turno de la RootedCON, la Rooted a secas para los amigos. Un evento en el que hackers enseñan y aprenden, en el que profesionales se encuentran y cuentan batallas y, por qué no decirlo, un momento como otro cualquiera para abordar unas buenas burguers con los compañeros y amigos de SecurityInside.

rooted16-securityinside

Un año más, la RootedCON ha vuelto a dar lo mejor de sí. Uno de los eventos de seguridad más importantes e interesantes que, esta vez, ha cambiado de ubicación.

Personalmente estoy encantado con ciudad de la imagen, joder, ¡hay aparcamiento de sobra! Después de unos años en los que aparcar era una lotería y la mayoría optábamos por ir en tren, esta vez la cosa ha sido llegar y aparcar.

La ubicación nueva, además, tiene cerca una buena variedad de sitios donde comer sin tener que desplazarse tanto que tengas que perderte la primera charla de la tarde (algo habitual en las últimas ediciones).

Este año ha habido una buena variedad de temas, que han ido desde el muy presente IoT hasta las ondas cerebrales… una muestra de la reputación del evento, capaz de atraer a tanto y tan variado talento.

En cuanto la organización publique los vídeos de las charlas, actualizaremos esta entrada con la información. Mientras tanto, os dejamos una lista de los recursos que nos han parecido interesantes:

Cabe destacar un año más las tradicionales conchas y lanzamos una propuesta para el año que viene: Café, queremos café, necesitamos café, solicitamos insistentemente café. No es que las charlas sean aburridas (todo lo contrario), pero estar sentado, escuchando, en una sala de cine, a oscuras… entra mucho sueño y el tema café ha sido muy comentado este año.

rooted16-conchas

En cualquier caso, un año más de disfrutar y aprender. Ya estamos listos para la RootedCON 2017!!

tisec-seguros

Espacio tiSec: El despegue de los Seguros de Responsabilidad Cibernética

El pasado Jueves 25 de Febrero, estuve en el espacio tiSec de Revista SIC. Un encuentro de profesionales del sector en el que casi 200 personas pudimos escuchar de primera mano las impresiones sobre una tendencia al alza, la de los seguros de responsabilidad cibernética.

Allí, José de la Peña Muñoz, Director de la revista, nos puso en situación al contarnos que este tema se empezó a escuchar en el 2014 y que, poco a poco, va tomando forma. Desde Revista SIC están totalmente convencidos de que los seguros van a estar muy presentes en un futuro cercano.

Para entender bien todo esto, tuvimos la oportunidad de escuchar tres presentaciones muy interesantes…

 

Modelo de proyecto de integración de la transferencia de riesgos en la transformación digital de las empresas

Fernando Picatoste Mateu, Socio Responsable de Cyber Risk Services en Deloitte, hizo hincapié en que las innovaciones rompen el perímetro de seguridad de las empresas. Hemos pasado a un mundo full digital que expande la actividad de los empleados y usuarios a entornos antes no controlados, como el hogar en dispositivos móviles.

Este cambio, que hace que el trabajo y los activos dejen de estar exclusivamente en la oficina para quedarse en nuestro móvil, tablet, cloud… es algo a lo que el departamento de seguridad y la gestión de riesgos tiene que entender y adaptarse cuanto antes.

La actividad actual pasa por poner controles, pero es imposible estar 100% seguro, por lo que el trato del riesgo residual se convierte en asumirlo o traspasarlo.

En este escenario, las empresas están expuestas a ciberataques y a presión regulatoria, que las empuja poco a poco a la necesidad de contratar seguros que se puedan hacer cargo de cierto tipo de riesgos.

Sin embargo, las empresas siguen reticentes a este cambio, principalmente por:

  • Subestiman los costes (pérdidas) derivados de un ataque.
  • Creen estar protegidas por la normativa legal.
  • Los contratos con las aseguradoras son complejos.

Si se deciden dar el paso, el proceso consistirá en:

  • Realizar un análisis de riesgos sobre los activos de la empresa.
  • Entender las pólizas para saber en qué caso cumpliríamos las condiciones o exclusiones.
  • Valorar el coste de la implantación de controles contra el coste del seguro.
  • Entender correctamente el proceso de reclamación cuando ocurra un suceso.

Por último, nos recuerda que es importante entender que este tipo de seguros cubren los casos de robo, fraude, forense, interrupción… pero nunca van a poder cubrir las pérdidas de reputación o el hecho de que no vuelva a ocurrir.

 

Servicios de ciberseguridad gestionada con coberturas de seguro asociadas

Juan Miguel Velasco López-Urda, Partner Managin Director en Aiuken Solutions, ofreción una visión un tanto catastrófica, pero en gran parte real, de la situación actual.

Estamos en un mundo en el que la conectividad es la base de todo y está basada en unos pilares que dejan bastante que desear. Nos basamos en una arquitectura de red insegura por definición, en unos sistemas operativos vulnerables, en dispositivos que piensan más en el diseño que en la seguridad… y en un entorno que nos adiestra para tener «confianza visual», nos creemos todo lo que nos cuentan.

Es por eso que estamos en un mundo lleno de peligros, lo que hace que los seguros sean reacios a entrar en el mundo de los riesgos cibernéticos. Sin embargo aseguran a pilotos de F1, a gente que hace puenting…

El problema de fondo es que en España no cuantificamos ataques ni impactos, lo que deja a los seguros sin capacidad para evaluar hasta qué punto les puede ser viable ofrecer productos.

Es muy importante que las empresas pierdan el miedo a ofrecer esta información. En América es un dato público que permite medir de forma correcta lo que los ataques representan a las compañías.

En este punto nos contó la experiencia de Aiuken, por lo que os invitamos a visitar su web y conocer sus servicios.

 

Pólizas de seguros para empresas ante riesgos de ciberseguridad

Jesús Marcos de la Fuente, Director del área técnica de seguros patrimoniales en Reale Seguros, vino a contarnos de primera mano el nuevo servicio «Reale Ciber Seguridad», un producto orientado a pymes y autónomos y que cubre:

  • Asistencia Técnica y gastos de investigación del siniestro
  • Gastos de reparación y recuperación de datos borrados y equipos dañados
  • Responsabilidad Civil frente a terceros
  • Responsabilidad por datos de carácter personal
  • Defensa Jurídica

Todo por una cuota que oscila entre los 200 y 400€ anuales y que ofrece asesoramiento e incluso auditoría de los sistemas del cliente.

Un servicio muy interesante y pionero en España que, seguro, irá a más en la versión 2.0 que Jesús nos anunció para medio plazo.

 

El despegue de los Seguros de Responsabilidad Cibernética

Para finalizar, se realizó una mesa de debate. A los anteriores ponentes se unieron Rafael Hernández González, Responsable de Seguridad de la Información de Cepsa, y Alfredo Zorzo Losada, Responsable de Seguros de Orange España.

Los asistentes pudimos realizar todo tipo de preguntas sobre las dudas y complicaciones derivadas de este tipo de servicios, así como la acogida que pueden tener y el futuro de los mismos. Sin duda, un interesante intercambio de ideas muy enriquecedor.

 

Por supuesto, no quiero terminar sin agradecer la invitación al evento a la revista SIC y a los copatrocinadores del evento, Aiuken Solutions y Reale Seguros.

P.D.: Por si te ha sabido a poco, también puedes visitar la crónica oficial del evento.

Entrevista a Carlos y Sergio de Sh3llCON

Quedan dos días para que empiece Sh3llCON y sus fundadores Carlos Díez y Sergio Sáiz nos han hecho un hueco en sus apretadas agendas para contestarnos a algunas preguntas.

Antes de ir con la entrevista, me gustaría contaros por qué le tengo un cariño especial a Sh3llCON y por qué no os la debéis perder.

Lo primero, fueron los primeros en darme la oportunidad de “hablar de mi libro” para una audiencia especializada. Gracias a ese pequeño empujón que me dieron los amigos de Sh3llCON, durante 2015 me animé a presentar en otros congresos, entre ellos en BruCON.

Además de esto, las charlas son buenas, el precio es difícil de mejorar (hasta tienen descuentos para parados y estudiantes), heavy metal entre charla y charla… ¡¡y encima es en Cantabria!!

La única pega es que en enero la playa del Sardinero esta un poco complicada para bañarse (ejem… ShellCON… ejem… Julio… ejem).

Y sin más os dejo con la entrevista:

Antes de entrar en materia, ¿Quiénes estáis detrás de Sh3llCON? ¿quiénes son Carlos y Sergio?

SergioCarlos: Pues somos dos personas de lo más normalito, que compartimos más de una afición. Entre ellas la de cacharrear con ordenadores, y también la de complicarnos la vida mucho más de lo que debiéramos!

Sergio: En mi opinión, somos dos locos que no sabían dónde se metían…

¿A qué os dedicáis profesionalmente? ¿En qué consiste tu trabajo diario?

sabado-sh3llcon-28Carlos: Empecé intentando meterme en equipos de auditoría técnica y pentest, pero tengo que reconocer que no se me da nada bien. Por ello he terminado enfocándome más en la gestión de servicios de seguridad, consultoría y auditoría normativa.

Sergio: Actualmente soy administrador de sistemas, aunque cada vez toco más palos relacionados más directamente con la seguridad, que es lo que más me gusta. Así que intento aprovechar todo lo que puedo de lo que veo en mi trabajo diario para aplicarlo en seguridad.

¿Cómo llegasteis al mundo de la informática en general y al de la seguridad en particular?

Sergio: Tengo que reconocer que, aunque empecé muy tarde con la informática (mi primer ordenador – a excepción del spectrum 128K – le tuve con 18 años, y era prestado), siempre he destripado trastos viejos que había por casa. Empecé trabajando como programador, y fue entonces cuando me enteré de que se iba a celebrar la primera RootedCON, a la que acudí sin saber muy bien qué era todo aquello. Ahí me di cuenta de que quería dedicarme a esto, y simplemente seguí mi propio instinto.

Carlos: En mi caso fue a partir de unas jornadas de ciberdefensa que hubo en mi universidad. Había «un señor con gorro» con el que estuve hablando en la cafetería, y al comentarle que me gustaba mucho de lo que habían estado hablando pero que para mi era algo nuevo y que no creía poder ponerme al día me contestó que lo único que tenía que tener eran ganas de aprender. Y mira tú, desde entonces hasta hoy!

Me parece muy complicado encontrar cosas interesantes fuera de Madrid o Barcelona, aunque espero que cada vez podamos tender más al trabajo en remoto.

¿Cómo veis el estado del trabajo de seguridad en España?

Sergio: Yo creo que cada vez hay más y mejor trabajo, aunque todavía queda mucho camino por recorrer. El tema del teletrabajo está empezando a entrar en las empresas, y se descubren cada vez a mejores profesionales. Todo esto es bueno, pero tiene que haber una sintonía entre ambas partes.

Carlos: Personalmente lo veo como un sector con mucho futuro, pero que por desgracia sigue estando muy localizado en pocos sitios. Me parece muy complicado encontrar cosas interesantes fuera de Madrid o Barcelona, aunque espero que cada vez podamos tender más al trabajo en remoto.

¿Qué consejo le daríais a las personas que quieran dedicarse a la seguridad?

Carlos: Que nunca es tarde, y que trabajar en seguridad no implica tener que ser un técnico con una capacidad sobresaliente. Hoy en día la seguridad es un servicio transversal a cualquier empresa/organización, y tenemos la suerte de que la normativa y la legislación van en nuestro favor.

Sergio: Coincido totalmente con Carlos, si alguien quiere dedicarse realmente a seguridad, adelante, sea quien sea y tenga la edad que tenga. Que se mueva, que lea todos los artículos que pueda, que conozca gente, que sea persistente… al final de lo que se trata es de ser feliz, las metas se las pone uno mismo.

sh3llcon-viernes-31
¿Cómo es alternar el trabajo diario con la organización de un evento como la Sh3llCON?

Sergio: Esta pregunta la debería responder mi mujer… Si tienes la suerte de poder utilizar tiempo de tu trabajo para el congreso, genial. Y si no, tienes que hacer malabares y utilizar tu tiempo personal, al fin y al cabo Sh3llCON no deja de ser un proyecto personal, y todo el tiempo que le puedas dedicar es poco.

Carlos: Complicado! Sobre todo en algunas fechas críticas en las que parece que se juntan las fases más complicadas de trabajo y evento, y hay que sacarlo todo adelante al mismo tiempo.

Si alguien quiere dedicarse realmente a seguridad, adelante, sea quien sea y tenga la edad que tenga. Que se mueva, que lea todos los artículos que pueda, que conozca gente, que sea persistente… al final de lo que se trata es de ser feliz, las metas se las pone uno mismo.

¿Nos podéis dar algunas cifras de la pasada edición?

Carlos: Yo me quedo con dos cifras. Por un lado, 16 ponentes cuando pensábamos que no íbamos a llegar ni siquiera a cubrir una jornada de 6 charlas. Por el otro, una sala con más de 100 personas. Al empezar el viernes y ver la sala llena yo no me lo creía.

¿Cuántas personas hay implicadas en la Sh3llCON? ¿De qué forma?

Carlos: Empezamos siendo 5, y este año somos 11. Todos participamos de forma voluntaria (Sh3llCON es una organización sin ánimo de lucro) y echamos el tiempo que podemos en la organización. Nos repartimos muchas tareas, desde buscar financiación, mantenimiento de la web, gestión de redes sociales, merchandising,… Y a veces nos faltan manos!

Sergio: Efectivamente, este año somos 11, y a veces no es fácil ponernos de acuerdo en todo, son muchas las tareas a hacer. Pero en cierto modo me gusta pensar que Sh3llCON lo hace mucha más gente, al fin y al cabo nosotros «solo» ponemos de acuerdo a ponentes, asistentes y patrocinadores. Sin alguna de estas partes, no se podría hacer.

Qué novedades podemos esperar en la segunda edición de Sh3llCON?

Carlos: Hay algunos cambios que nos sugirieron en las encuestas de la primera edición. Por ejemplo, hemos sustituido un par de charlas por talleres más prácticos. Aparte, hemos cambiado el concurso de desarrollo por un CTF básico. Nuestra idea con esto no es hacer un reto complejo, sino animar a que se presente la gente que pueda pensar que no tiene suficiente capacidad para participar en este tipo de retos.

La gente nos agradecía el montar algo así «cerca de su casa».

La acogida del primer evento fue muy buena, ¿cuál creéis que es el motivo?

Sergio: Yo creo que se echaba de menos algo así en esta región, puesto que el evento más cercano estaba en Madrid. También quizás es algo nuevo para mucha gente que se dedica a la informática, y el hecho de hablar de «hackers» es llamativo. Otros supongo que se habrán acercado al ver LA (así, con mayúsculas) oportunidad de meterse más en este mundillo, conocer gente que le gustan las mismas cosas (ya no eres el raro del grupo)… y lo digo porque en mi caso fue así cuando decidí asistir a mi primera CON.

Carlos: Creo que hay mucha gente que no puede permitirse el ir a CONs más grandes por el hecho de tener que trasladarse durante 3 días, pagar viajes y hotel,… En la edición del año pasado teníamos a mucha gente de PYMEs, a universitarios y gente de institutos, etc. La gente nos agradecía el montar algo así «cerca de su casa».

¿Que problemas encontrasteis en la primera edición del evento?

Carlos: Hay que reconocer que conseguir el presupuesto para montar algo como Sh3llCON es muy complicado. Al final hay que pagar billetes de avión, habitaciones de hotel, un auditorio, mucho material,… Hemos tenido más de un momento de querer tirar la toalla a medio camino, o incluso de reservar algo de nuestro propio bolsillo por si no llegásemos a cubrir gastos. Aparte de esto, es muy difícil llegar al público, y conseguir que el número de asistentes sea el mayor posible. Trabajamos mucho para intentar tener visibilidad, que nos conozcan en universidades, en clusters de empresas, en redes sociales… Sin público un evento como Sh3llCON no tendría sentido.

Sergio: Sobre todo eso, darte a conocer, que te hagan caso, que llegues a la gente y conseguir que les guste la idea tanto como a ti. Por no hablar conseguir que, además, te den dinero para llevarlo a cabo. Aunque debo reconocer que hubo patrocinadores que no se lo pensaron dos veces a la hora de apoyarnos, es algo con lo que siempre estaré en deuda.

¿Alguna anécdota que queráis compartir de la anterior edición de Sh3llCON?

Carlos: Jueves a las 4 de la mañana, todavía poniendo pegatinas a mano en todas las acreditaciones, Sergio dándole vueltas al discurso de inauguración y yo diciéndole «pareces una máquina expendedora, ¡empieza otra vez!». Nos pasamos la noche sin dormir y el viernes no podíamos con el alma.

Sergio: ¡Iba a contar esa misma anécdota! Soy pésimo a la hora de hablar y explicarme, tenía que decir 4 párrafos en.. ¿cuánto, 2 minutos? Y después pasarle la palabra a Carlos. En serio, se me da muy mal… Carlos creo que tiene callo todavía de pegar los códigos en las acreditaciones. Tengo otra más, y es que la primera vez que llamé a Carlos para proponerle hacer una CON me dijo que sí, que lo intentásemos a ver hasta dónde llegábamos. Una semana después le llamé diciéndole que tenía X ponentes confirmados, medio apalabrado un patrocinio y recuerdo un breve silencio en el teléfono, seguidamente de un largo ¿quéeeee?
sabado-sh3llcon-45
¿Qué aspecto tiene Sh3llCON a futuro?

Sergio: Llámame ingenuo, pero mi objetivo es que sea una especie de «centro de especialización de seguridad informática» durante dos/tres días al año, que haya talleres para todos los niveles, charlas de todo tipo de temáticas, ctf para newbies y ctf para pros, zonas de networking, que todos y cada uno de los asistentes encuentre su rincón en el congreso… Todo a su debido tiempo.

Carlos: Espero que bueno!! Hay mucha gente poniéndole muchas ganas, así que espero que siga teniendo buena acogida del público.

El volumen de información, eventos, y empresas que están entrando en el terreno de la seguridad es notable desde hace unos años. ¿Creéis que este volumen viene acompañado de un nivel de calidad acorde? ¿Qué opináis del estado de la “comunidad” de la seguridad actual?

Carlos: Es cierto que cada vez hay más eventos de este tipo, así que lo que más importante me parece es que también haya cada vez más gente con ganas de dar charlas. Creo que una de las funciones que deberíamos tener es la de identificar nuevos talentos, gente que nunca haya dado una charla pero que tenga una idea interesante que compartir con la comunidad. Por eso este año hemos abierto un Call For Papers, para animar a que todo el que quiera pudiera mandarnos temas interesantes y abrir la puerta a todo el mundo.

Sergio: Hay de todo, como en todos los sitios. Hay vende-humos y hay gente seria (tanto empresas como profesionales). Pero creo que en general se está tomando este tema más en serio. En cuanto a la comunidad, no puedo hablar mucho porque no llevo tanto tiempo como otros, pero en mi opinión el mundo ‘under’ ya no es tan ‘under’ como antes, ahora es más ‘comunidad’. Sí que hay mucha colaboración entre CON’s (llámese RootedCON, NocONName, NavajaNegra-ConectaCON, Hackr0n…), y a ellas les agradezco lo que hoy es Sh3llCON. Además, me parece una forma muy directa y viable de debatir un tema entre tanta gente, y donde cualquiera, repito, CUALQUIERA, puede darse a conocer o exponer su opinión/visión/proyecto/etc sobre algo en concreto.

Todos los que vengáis por Sh3llCON diciendo que venís de parte de SecurityInside os invito a una caña!

Por último, sabemos que mantenerse al día en este mundo es complicado, ¿Qué blogs de seguridad (aparte del nuestro) leéis normalmente? ¿Cómo os mantenéis al día?

Carlos: Tengo que reconocer que cada vez tengo menos tiempo de seguir blogs, así que aprovecho mucho los reportes semanales que se hacen desde el SOC de la empresa en la que trabajo (Thanks guys!). Aparte de eso hoy por hoy miro poco más que las newsletters de Hispasec, y los RSS de SBD, Flu Project y de Chema. Admiro de verdad a todos los que podéis organizaros no sólo para estar al día leyendo varios blogs, sino también para escribir posts de forma periódica. Olé vosotros!

Sergio: Yo últimamente tiro más de twitter porque me es más inmediato consultarlo desde el móvil que un blog pero, si responde a tu pregunta, me ‘crié’ leyendo SET (aunque no fuese un blog y entendiese más bien poco), y por RSS a SecurityByDefault, El lado del mal y websecurity. Después ya descubrí Flu Project, SecurityArtWork, Pentester, DebianHackers… no es mi intención hacer publicidad, que conste 🙂

¿Algo que queráis añadir?

Carlos: Que a todos los que vengáis por Sh3llCON diciendo que venís de parte de SecurityInside os invito a una caña! Muchas gracias por acordaros de nosotros!

Sergio: Que yo voy de parte de SecurityInside 😛 y a todos los que hacen posible Sh3llCON: So long and thanks for all the shoes!

Y hasta aquí la entrevista con estos chicos que tuvieron una idea y no pararon hasta hacerla realidad.
Aprovechad que hoy, día 20 de enero, es el último día para comprar las entradas. Así que si no tenéis planes para el fin de semana, pasaros a partir del día 22 de enero por Sh3llCON, visitad Santander, aprended muchas cosas, decidle a Carlos que vais de nuestra parte para que os invite a una cañita y si me mandáis unas anchoitas de Santoña os estaré eternamente agradecido.