2º. bSecure Conference Monterrey
Métodos avanzados de protección para que "no le vean las cartas"
Protección del contenido y cifrado fueron los temas abordados por ponentes de Websense y el Laboratorio de Seguridad de la FES Aragón de la UNAM
 Monterrey, Nuevo León, 11 de junio de 2008.- El incremento en el uso de herramientas Web 2.0, acceso a sitios Web a través de dispositivos móviles, mayor uso de contenidos generados por los propios usuarios y aplicaciones hospedadas que residen remotamente, son algunos de los retos que hoy enfrentan los directivos de Sistemas. Proteger "las cartas" para que sean vistas por intrusos, es parte de su labor.
En su participación en esta conferencia del bSecure Conference, Choo Kim-Isgitt, directora senior de Mercadotecnia para América, dijo: "La siguiente ola de protección es proteger el contenido, el de los clientes, la personal, y la información intelectual. Ahora con Web 2.0 la gente se pregunta qué tan seguro es. Conforme nos movemos en la colaboración con clientes, empleados y proveedores, las herramientas Web 2.0 cambia la dinámica de los negocios".
El escritorio de hoy ha cambiado, ya no es contenido estático, dijo Kim-Isgitt. Mashups, aplicaciones y contenido generados por los usuarios, hacen que las empresas no controlen el uso ni la creación de las aplicaciones y el contenido. "Esta es una gran área de preocupación para la seguridad. En las redes colaborativas sociales no se tiene control o en las aplicaciones hospedadas por terceros", insistió Kim-Isgitt.
Los empleados 1.0 vs. los empleados 2.0. ahora hacen negocio donde quiera que se encuentren, a través de dispositivos móviles y teléfonos inteligentes. Ya no hay fronteras y esto cambia las expectativas de los patrones y del empleado, las líneas entre trabajo y tiempo libre han desaparecido. "A veces, por motivos personales, tengo que entrar al banco, o entrar a páginas Web de empleo para contratar a un proveedor, o hacer networking con mis colegas de otras industrias. Más y más colaboramos con otros para desempeñar nuestro trabajo y esto supone la pregunta de cómo integrar esto en el negocio", dijo la directiva de Websense.
La protección del contenido, dijo, implica la inteligencia del mapeo del flujo de información para entender quién, qué, dónde y cómo. "Muchos de ustedes tienen el qué y el cómo, pero les falta es el quién y el dónde. Y sin eso no se puede rastrear quién tiene la información y a dónde fue", dijo Kim-Isgitt.
Websense provee protección para información esencial. Descubrir, monitorear, proteger y clasificar el contenido. "Los directivos quieren tener software inteligente que proteja la información de forma automática, a partir del establecimiento de políticas y reglas en la administración central para que esto sea automático y sea departamental y en grupo."
Tecnologías de cifrado
En su oportunidad dentro de esta conferencia, Leobardo Hernández Audelo, director del laboratorio de Seguridad Informática, Centro Tecnológico Aragón, UNAM, se refirió a la importancia del cifrado. Dijo que actualmente se usa el estándar ISO 7498-2, y para cada servicio existe un mecanismo asociado:
| Servicios |
Mecanismo |
| Confidencialidad |
Cifrado (simétrico y asimétrico) |
| Verificación de integridad |
hash, cifrado simétrico |
| Autenticación |
firma digital, hash, cifrado (simétrico y asimétrico) |
| No repudio |
firma digital |
| Control de acceso |
modelos de control de acceso |
El académico dijo que hay que saber usar la criptografía. "No solo es el algoritmo sino cómo está diseñada la plataforma, porque si no está bien diseñada por ahí se cuelan los ataques", afirmó Hernández Audelo.
En cuanto a los aspectos que se deben considerar para cifrar información se encuentran el nivel de clasificación, el valor de la información y el tiempo de vida útil. "El algoritmo elegido estará en función de lo anterior", dijo el director del laboratorio de seguridad de la FES Aragón.
El algoritmo elegido debe ser público, es decir, no confundir seguridad por obscuridad; no debe ser propietario, sino la seguridad estará basada en diseño y llave.
Mencionó también los algoritmos de cifrado para información no clasificada: --AES (128, 192, 256 bits de llave).
-3DES, IDEA, TWOFISH, SERPENT, MARS.
Por su parte, para información clasificada hay que evaluar RSA, ECC (Criptografía de Curvas Elípticas). "La tendencia -dijo Hernández Audelo--, está dirigiéndose a curvas elípticas, por el tamaño de la llave. Hacia allá vamos."
Tendencias de cifrado
Criptografía de curvas elípticas
-Cifrado asimétrico (ECC)
-Firmas digitales (ECDSA)
-Acuerdo de llave Diffie-Hellman (ECDH)
Criptografía cuántica:
-Acuerdo de llaves
Qué, dónde y cuándo cifrar
-Información sensible en computadoras: Clasificada y no clasificada
-Información sensible que viaje por la red: sesiones cifradas, mails cifrados, anexos ( attachments ).
-Información sensible en dispositivos móviles: laptops, PDAs, celulares.
-Información sensible en respaldos locales y remotos: sites alternos, repositorios.
Cómo y con qué cifrar
En el desarrollo de aplicaciones: usar bibliotecas firmadas, usar algoritmos de tecnologías de desarrollo.
En conclusión, el ponente afirmó que hay que cifrar información sensible, clasificar, valorizar y asignar tiempo de vida útil a la información, usar estándares. "El cifrado no lo es todo, los protocolos que usan cifrado deben estar bien diseñados. Hay que usar algoritmos públicos, de diseño abierto, seguro y considerar la llave. Finalmente, recordar que no hay que confundir seguridad por obscuridad."
|
