Conclusiones VII Jornada Nacional de Seguridad Informática
“No existen crímenes perfectos, sino investigaciones imperfectas”
Durante los días 20, 21 y 22 de junio de 2007, más de 200 profesionales de Colombia, Venezuela, Honduras, entre otros países motivados por los temas de seguridad informática y la necesidad creciente de rastrear la inseguridad de sus infraestructuras de computación, se dieron cita en las instalaciones del centro de convenciones y eventos de la Biblioteca Luis Angel Arango para atender las VII Jornadas Nacionales de Seguridad Informática, realizadas por la Asociación Colombiana de Ingenieros de Sistemas – ACIS en la ciudad de Bogotá, D.C – COLOMBIA.
Esta versión de las jornadas contó con la presencia de una de las criptoanalistas más importantes de Europa, como lo es la Dra. Pino Caballero, Decana de la Facultad de Matemática de la Universidad de la Laguna en Tenerife, España. Su presentación manifestó la necesidad de concentrarnos en el estudio de los algoritmos de cifrado y su fortaleza, para no padecer las fallas de los mismos en la implementación de éstos en el software o hardware. Resaltó la necesidad de avanzar en profundidad en las estrategias de ataque de los algoritmos más recientes para mejorar la potencia y confiabilidad de los mismos. De igual forma insistió que en la medida que los algoritmos se vuelven públicos estará la academia tratando de validar la fortaleza y vigencia de los mismos.
De otra parte el Mayor Fredy Bautista, ilustró a la concurrencia sobre los avances y estadísticas sobre los delitos informáticos en Colombia, narrando algunos casos recientes, dejando a los asistentes con una grata impresión de que cada vez más las autoridades se fortalecen y se hacen más especializadas. Seguidamente el oficial Jefe de la Unidad de Delitos Informática de la DIJIN de la Policía Nacional, ilustró con detalles informes de casos donde han participado, sugiriendo elementos prácticos para aquellos que se enfrentan al ejercicio de efectuar un informe pericial ante incidentes de seguridad en las organizaciones.
Los temas técnicos y administrativos relacionados con el estudio de la computación forense, fueron presentados por profesionales que tanto en la academia como en la industria vienen trabajando. Análisis de archivos fragmentados, técnicas antiforenses, análisis de rastros en memoria, pólizas de seguros asociadas con tecnologías de información, las evidencias digitales en el sistema penal acusatorio, fueron temas que se desarrollaron con profundidad y casos prácticos con el fin de que los asistentes evidenciaran las problemáticas asociadas con los incidentes informáticos y la recolección de los rastros asociados con éstos.
Por otro lado, la Superintendencia Financiera de Colombia, presentó el proyecto de circular sobre seguridad informática para la Banca, donde se resalta el interés del ente regulador por promover una cultura de seguridad informática en los clientes del sistema financiero y fortalecer la gestión de seguridad de las entidades bancarias, como estrategia para aumentar la confiabilidad de las operaciones y las eficiencia de las misma. El mensaje se orienta a comunicarle a la alta gerencia que la seguridad de la información es parte inherente del negocio y el negocio hace parte de las estrategias de protección de los activos de información.
Se resalta la presencia de las comitivas de Venezuela (la más numerosa) y la de Honduras como participantes activos de las charlas, así como el espacio que se mantiene para los estudiantes de pregrado que asisten al evento.
La presentación de trabajos de investigación es una constante que se mantienen en el evento año tras año. Luego de cerrar la convocatoria a trabajos (en el mes de marzo/07) que se inicia el año inmediatamente anterior en el mes de noviembre, se evaluaron los diez y seis (16) artículos recibidos, de los cuales el comité de programa internacional, conformado por destacadas académicos internacionales y nacionales, seleccionó cuatro (4) para ser presentados en el evento. Se resalta la masiva participación de trabajos colombianos y uno mexicano.
Como es habitual en el evento, se presenta el estudio que realiza la Asociación sobre el estado actual de la seguridad de la información en Colombia, que se realiza con los participantes de la lista de seguridad informática de ACIS, Segurinfo (actualmente tiene más de 1500 inscritas). Dichos resultados sugieren algunas tendencias relevantes en el país, que pueden ser aprovechadas por las organizaciones para establecer estrategias alineadas con la realidad nacional. Algunos de los resultados más relevantes son:
1. El mercado de los profesionales de seguridad de la información demanda una formación que conjugue la práctica y experiencia verificable (generalmente asociada con aspectos tecnológicos y de producto), la formación académica (en programas de educación formal como especializaciones o maestrías) y la posesión de certificaciones generales como factores claves y atractivos para los empleadores.
2. Mientras que las VPN, los proxies y firewalls son elementos fundamentales de los mecanismos de seguridad en las organizaciones colombianas, las herramientas forenses aún no encuentran su lugar y ni su justificación para incorporarse al discurso de la seguridad informática en Colombia.
3. La inexistencia de políticas de seguridad y la falta de tiempo, no pueden ser excusas para no avanzar en el desarrollo de un sistema de gestión de seguridad. La inversión en seguridad es costosa, pero la materialización de inseguridad puede serlo mucho más. Ud. Decide!
Mayores detalles de los análisis de resultados de la encuesta, están disponibles en el No.101 de la Revista Sistemas actualmente disponible en el sitio web de la Asociación.
Para finalizar resaltar a las empresas patrocinadoras que hicieron presencia en el evento como son GlobalTek, NewNet, Internet Solutions, Etek, Digiware, Cisco, Integrar, Asoto y la Universidad Externado de Colombia, para quienes son parte fundamental para el buen desarrollo del evento y se encuentran comprometidas con el desarrollo de la seguridad informática en el país. Adicionalmente resaltamos el apoyo de organizaciones como CriptoRED y la conferencia internacional Black Hat, cuyo soporte fue fundamental para la promoción de este evento. A todos ello, gracias por ayudarnos a abrir un espacio para “pensar y ver más allá del manual”.
No podemos cerrar esta nota, sin el agradecimiento a todos los asistentes al evento y a los medios de comunicación presentes, para invitar a todos aquellos interesados en seguir los rastros de la inseguridad de la información, para que el año entrante en las VIII Jornadas Nacionales de Seguridad Informática ACIS 2008, se abra nuevamente el escenario para experimentar lo que Albert Einstein creía: “la imaginación es más poderosa que el conocimiento”.
Información obtenida desde la página Web de la Asociación Colombiana de Ingenieros en Sistemas ACIS
Estamos esperando las memorias del evento de este año, es posible acceder a las memorias de las Jornadas realizadas en años anteriores desde el siguiente enlace: