(Por Rubén Borlenghi) Terminó este Congreso de Seguridad; vimos, escuchamos y opinamos. Hubo de todo, como en botica (qué anacronismo), se conoció la cantidad de asistentes (mil menos que los inscriptos) nos divertimos, aprendimos y nos aburrimos, según fuera la conferencia donde hubiésemos estado.
Primero, un relato cortito de la segunda jornada.
Recibió al público Guillermo Vidal, presidente del comité académico de Segurinfo. Se hizo cargo de las caras de cansancio, porque ayer se terminó bastante más tarde de lo previsto (a mi me consta, yo me fui a las ocho y pico), comentó que el programa de la jornada estaba planteado ubicando en cada sala las presentaciones de industrias similares, y mencionó finanzas, retail, gobierno y seguros. La sala principal quedó para lo que Vidal llamó charlas generales.
Justamente en esa sala escuché a Marcos Boaglio y Fabiana Reami, de Symantec, que tocaron un tema urticante: la forma en que las PyMEs latinoamericanas (y entre ellas, las argentinas) encaran la recuperación de desastres. De acuerdo a las estadísticas presentadas, lo hacen con mucho optimismo y poca realidad. Los disertantes mencionaron qué tipo de software puede emplearse para administrar y automatizar la protección de la información (casualmente ellos proveen eso…) y cuáles son los pasos posibles para implementar cada tarea.
Y de allí en adelante, conferencias para todos los gustos. Gestión del riesgo (en general), mitigación del riesgo (es otro) introducido por el uso de dispositivos móviles, un panel de CISOs de bancos, otro con sus pares de las compañías de seguros, más CISOs pero de las proveedoras de energía eléctrica, telecomunicaciones o combustibles (las “utilities”, para ser moderno), la actividad de los Centros de Respuesta a Incidentes (pongan las siglas que quieran), y un vistazo a la seguridad desde el punto de vista de las Telcos. Justamente en el caso de los celulares y las Telcos, pude escuchar a un ejecutivo técnico de una empresa Recientemente Llegada Al Mercado Local contestar acertadamente “¿transacciones bancarias desde el móvil? (…) bueno, tienen los mismos problemas de seguridad que las pecés…” ¿Entendiste?
En varias salas del congreso de seguridad había gente usando laptops, navegando tranquilamente. Ayer yo había oído algún que otro gruñido por problemas de conectividad, así que me di una vuelta por el stand de Base4 Security (los mismos que el día anterior disertaron sobre el tema de la Operación Aurora) y me encontré con el siempre amable Gerónimo Basaldúa. Le comenté el tema y me contó que la cantidad de conexiones que ingresaron ayer eran tantas que habían superado ampliamente el tope calculado, pero lo habían solucionado, tal como pude comprobar mientras trabajaba durante toda la jornada. Lo que no me atreví a preguntar (vergüenza ajena…) es si alguien les había agradecido la gauchada, ya que todas las otras conexiones inalámbricas del hotel eran pagas. Claro, esta también; Base4 se había hecho cargo del gasto y bajó la conexión gratuita a los asistentes a Segurinfo.
Y me reservé para el final “Todo lo que siempre quiso preguntarle a los expertos de antivirus y no pudo”, panel moderado por Claudio Avin (Cabase) y que sufrió varias bajas y altas a lo largo del día, hasta quedar integrado por Marcelo Pizzani (Panda Security), Marcos Boaglio (Symantec), Ignacio Sbampato (ESET), Julio Cella (Kaspersky), Loreto Herrera y Diego Pérez de Gracia (de Microsoft… por un Buby mandaron dos) y Rafael Aguilera Zubiaga (Trend Micro).
Entre el público (donde empleados y amigos de algunos de los disertantes eran hinchada adicta) había curiosidad y una cierta tensión (tantos directos competidores todos juntos…), a tal punto que cuando el moderador comentó que habían decidido que los panelistas no harían referencias directas a sus productos, y luego solicitó al público que al hacer las preguntas dejase para mejor oportunidad las quejas sobre el funcionamiento de tal o cual producto, desde la platea salió un “¡pero si vinimos a ver correr la sangre…!” muy festejado por varios de los del estrado (aunque alguno se puso medio serio).
Observaciones folklóricas aparte, te resumo draconianamente:
- Comentario (muy justo) sobre la necesidad de que la prensa ayude en la misión de educar al usuario y no contribuya, con noticias sensacionalistas, al desconcierto general (nota de RDG: Lástima que no convocaron a ningún periodista para preguntarle acerca de la misión de los medios).
- Dejar muy claro que las ganancias recaudadas por los ciber delincuentes (que duplican las del narcotráfico) son el motor presente de la actividad, y lo será en el futuro.
- Hablando de futuro, las redes sociales y las infraestructuras críticas están entre los probables blancos de ataque.
- Insisten con el tema de las “mejores prácticas”. A manera de mantra: -actualizar el antivirus – actualizar el Sistema Operativo -actualizar al usuario (educarlo, para que deje de hacer clic a cualquier cosa o riegue sus datos personales por cualquier parte)
El cierre, luego de un sorteo un poco desordenado, incluyó la previsible convocatoria para el año próximo, y estuvo a cargo de Guillermo Vidal (el que nos saludó a la mañana) que afirmó que habían tenido tres mil quinientos asistentes (aunque me parece que a la mañana dijo una figura menor) y Alberto Chehébar, el que nos recibió el primer día, cordiales como siempre (y muy contentos con los resultados, según dijeron). Y como era tarde, raudo final y cada uno a casita
Ahora, más corto aún, un balance.
- Felicitación por el muy buen nivel de aquellas charlas que tenían contenido técnico (sea de hacking, de finanzas o de auditoría). Las buenas fueron muchas.
- Tirones de orejas para aquellos expositores que se olvidaron de que muchos de los que estaban en la platea querían aprender, no venían a comprar un producto. Seguro, se puede aprender de los casos de éxito. Y sería importante que recordaran que los especialistas siempre anotan con qué herramienta se resuelve cierto problema, pero no tienen ganas de que se las metan por las narices. Los excesivamente marketineros fueron pocos, pero molestaron.
- Otro tirón de orejas para los miembros del respetable público que se encabritaron por la presentación de tanto y tanto producto comercial. En la mayoría de los casos, quienes mostraban los pepetés eran personas de muy alto nivel dentro de las empresas, de esos que no salen si no están defendiendo una venta con muchos ceros. En algunos casos, era un lujo tenerlos a mano. Hubiera sido cuestión de hacer alguna pregunta más interesante que algunas simplezas que escuché. Eso sí, me parece (dije solamente “me parece”) que en otro caso, la inteligente y oportuna pregunta que le dio pie a un expositor para explayarse sobre un producto, salió de un empleado propio mezclado con el público. En una de esas entendí mal.
Esperemos el siguiente Segurinfo, y ahora me quedó picando una curiosidad:
Después de este espectáculo a sala llena ¿cómo serán los siguientes congresos de seguridad de este año?
Respondo tu pregunta, Ekoparty es el complemento ideal para Segurinfo, dado que son conferencias muy técnicas y mas orientadas al hacking.
Saludos.
No comentaron nada de las 4 charlas al hilo de la gente de ISSA. Me parecieron de excelente nivel e instructivas, todas ellas 10 puntos. Ezequiel Sallis, Claudio Caracciolo, Hernan Raciatti y Santiago Cavanna. Cero de producto o discurso repetido, puro contenido actual y original.
Lástima que los mandaron a esa sala chiquita del 2do piso y explotaba de gente, muchos se quedaron afuera calentitos por no poder asistir.