Mesa Redonda "Prevención en la Pérdida de Datos"

El miércoles 13 de abril, tuve la fortuna de ser invitado a participar a la Mesa Redonda para platicar sobre la prevención de datos personales.

Dentro de la mesa tuve la oportunidad de convivir con grandes personalidades como son:

• Norberto Gaona, editor CIO México.
• José Luis Cisneros, director de Sistemas de OfficeMax.
• Luis Efrén Ramírez, director general adjunto de Tecnología de Banca Mifel.
• Emilio Milán, Asociación Mexicana de la Industria de Tecnologías de Información
• Felipe Villegas, CIO de DHL Express.
• Lucino González, Director de Tecnologías y Servicios de Información de Grupo Papelero Scribe.
• Carlos Arochi, Symantec.
• Luis Rubí Patlán, subdirector de Mejora de Procesos y TI de Centro Médico ABC.
• Juan Portilla, Director General de Symantec México.
• Alejandro loza, Symantec.
• Elis Martínez, Symantec.
• Leandro Olivier, symantec.

El participar en este tipo de eventos es muy enriquecedor, pues ayuda a conocer las situaciones y puntos de vistas de profesionales de distintas empresas, ampliando de esta forma nuestro horizonte de conocimiento con situaciones reales vividas y sobre todo superadas por las distintas empresas.

Espero mi participación haya aportado y ayudado un poco a los profesionales con los que tuve el gusto y honor de compartir la mesa redonda.

Por último, no me queda más que agradecer a Norberto Gaona la invitación a este tipo de eventos, los cuales siempre me han dejado un muy buen sabor de boca, pero sobre todo experiencia y conocimiento por poder convivir con profesionales tan exitosos.

Para poder leer sobre esta experiencia organizada por la revista CIO México, sigue esta liga

CSO Executive Forum 2010

El pasado 12 de noviembre, participé en el panel del “CSO Executive Forum 2010” organizado por la revista CIO México, donde tuve el privilegio de compartir escenario con:

• Lizette Pérez Arbesú, periodista especializada en TI y seguridad.
•  Rogelio Nava, CISO de Grupo Financiero Interacciones.
• José Ángel Peña, vicepresidente internacional de ISACA.

Teniendo como moderador a Norberto Gaona

Dentro del panel se trataron diversos temas como son:

• La responsabilidad de un CISO dentro de las organizaciones.
• La importancia de un Gobierno Corporativo de Seguridad.
• La incursión de las redes sociales en las Instituciones.
• La importancia del Awareness de Seguridad.
• Entre otros temas.

Las aportaciones de todos los panelistas fueron muy interesantes, y lo único que puedo decirles es gracias por compartir su conocimiento y experiencia no sólo con los asistentes del evento, también con un servidor.

Por último, no me queda más que agradecer a Norberto Gaona por la invitación para participar en este importante evento.

Participación cuarto b:Secure Conference Monterrey

Tuve el privilegio de participar en el cuarto b:Secure Conference en Monterrey dentro del panel de "Colateral Data Loss Prevention".

Mi conferencia abarcó el tema de como poder actuar de forma proactiva para prevenir la fuga de información dentro de una organización,resaltando siempre la importancia de que si no se realiza una adecuada concientización al personal de nada servirá el adquirir herramientas de seguridad, dado que el "Eslabón más débil de la cadena de la Seguridad son las personas".

Quiero agradecer a Monica Mistretta y Carlos Fernández de Lara por haberme invitado a participar en tan importante evento, como siempre fue un placer el poder aportar algo de mi experiencia en este ramo.

Protegiendo al Activo “MÁS IMPORTANTE DE TODA ORGANIZACIÓN”

En mi experiencia me he encontrado que muchos proveedores que ofrecen servicios de seguridad de TI, siempre hablan de proteger al “Activo más Importante” dentro de las organizaciones, y la gran mayoría siempre hace referencia a la información.

Lo anterior bajo mi criterio no es cierto pues es verdad que la información es algo muy valioso para toda organización, sin embargo, es necesario analizar que la información por sí sola no tiene un valor ya que lo que es valioso para alguien puede no serlo para alguien más, además de que existe un activo que es el que genera, explota, resguarda, transmite, clasifica, elimina, y le da valor a la información y ese activo es el “Recurso Humano”.

Como profesional responsable de la Seguridad de la Información, me he dado cuenta que muchas empresas se enfocan en definir e implementar mecanismos de seguridad para proteger su información, sin embargo no todas se enfocan en proteger de manera proactiva a sus empleados, y también es cierto que todos somos buenos para dar consejos pero no para seguirlos, por lo que para no caer en el esquema de ser una persona que les recomienda a los demás que hacer pero no es capaz de seguir sus propios consejos, me inscribí en un curso de combate y prevención de incendios, todo con la finalidad de saber qué hacer y cómo reaccionar en situaciones críticas en donde realmente protegemos al activo más importante que existe, el RECURSO HUMANO.

El curso fue impartido en el centro de capacitación de la cruz roja en Toluca, cerca del aeropuerto.

Lo primero que nos enseñaron es que no todos los fuegos son iguales, y por lo tanto no todos se atacan de la misma forma, ya que no es lo mismo querer apagar un incendio ocasionado por químicos que uno ocasionado por materiales orgánicos (madera, papel, etc.), de ahí la importancia de conocer los diferentes tipos de extintores que existen así como su forma de uso.

Después de la teoría vino lo más interesante la práctica, lo primero que nos enseñaron fue el cómo cargar a una persona herida, teniendo en cuenta siempre lo siguiente, cuando de rescate se trata, lo primordial es la vida, después la funcionalidad y por último la estética, es decir lo primero que tenemos que hacer cuando una persona está herida, es ubicarla en un lugar seguro, para después revisar si se encuentran bien todas sus funciones vitales y lo último que nos debe preocupar es si al momento de rescatar a alguien ésta sufre un araño o se daña su ropa.

Otro punto de suma importancia es saber cómo cargar a la persona, sin que nos lastimemos pues entonces en lugar de ayudar ahora no será a una persona a la que tengan que rescatar sino a dos.

Posteriormente vino una nueva lección, y ésta fue el saber cómo reaccionar en caso de una situación crítica como puede ser un temblor (ya ven que casi no ocurren estas cosas en nuestra ciudad).

Lo primero es saber identificar cuáles son los puntos seguros dentro de una construcción, y una vez identificados asumir una posición segura, y una vez que termina el siniestro es posible que a consecuencia del mismo ocurra un incendio, inundación, falla de energía eléctrica, etc., por lo que debes saber cómo moverte en la oscuridad identificando y sorteando obstáculos, por lo que nos vendaron los ojos, nos dijeron como debemos caminar en la oscuridad y si somos un grupo como debe existir un responsable al frente que nos haga auto-numerarnos para así saber siempre cuántos somos, para que al salir poder informar a los expertos cuantas personas quedan en el inmueble y de esa forma ayudar en la búsqueda.

Se me olvidaba mencionar que para hacer todavía más interesante el asunto, los instructores nos rociaban con polvo extintor, hacían ruidos inesperados y para cerrar con broche de oro, provocaron un fuego controlado para que sintiéramos el calor de las llamas y el humo que éste provoca.

Nos enseñaron muchas cosas durante todo el curso y realizamos muchísimas prácticas, pero una que es realmente increíble y altamente recomendable, es la de utilizar las mangueras de alta presión y vestirte de bombero, para lo cual nos enseñaron como trabajar en equipo y como el poder apagar un incendio es un trabajo en equipo en el que no hay lugar para protagonismos individuales, la primer práctica fue sin el traje de bombero para que supiéramos la fuerza que es necesaria emplear para controlar la manguera, y nos pudiéramos mover con libertad, y el segundo ejercicio fue con el traje de bombero, el cual debo confesar me quedó algo chico por lo que no me podía mover muy bien, además de todo el peso que genera, así como la visibilidad que en mi opinión se ve un poco afectada por el casco, pero debo confesar que el casco ayuda mucho ya que aunque pierdo visibilidad a los lados, hacia el frente es muy buena pues el agua de las mangueras te pega en los ojos.

Dentro del curso hubo muchas más enseñanzas, como entrar a la casa de humo, saber cómo cargar, correr y usar un extintor, entre muchas más, lo único que les puedo decir es que es un curso que vale muchísimo la pena, pues nos enseña a actuar para proteger lo más valioso que hay y que es la vida humana, y es un curso que a mí me gusta verlo como un seguro, y como todo seguro lo compramos esperando nunca tener la necesidad de utilizarlo.

Por último les digo que si tienen la oportunidad no duden en tomar esta clase de cursos ya que nunca se sabe cuándo podremos necesitar de los conocimientos adquiridos, y créanme una vez que lo tomen querrán regresar y volver a vivir esta experiencia.

Mi experiencia en el "b:Secure Conference 2010"

Tal como había comentado anteriormente, el pasado 10 y 11 de marzo de se llevó a cabo el “b:Secure Conference, Ciudad de México” en las instalaciones del hotel Camino Real, en donde tuve la oportunidad de compartir el escenario con Rosa María Camargo Carter Director de Seguridad Lógica y Normatividad de PROSA.

Mi conferencia trató el tema de fuga de información, específicamente si es o no posible evitarla.

Uno de mis primeros objetivos fue el dejar claro que es la fuga de información, ya que ésta puede ser percibida de muchas maneras por lo que hago la siguiente definición

Se puede entender como fuga de información la ocurrencia de los siguientes eventos:

•Pérdida de Información.

•Divulgación NO Autorizada de Información.

•Robo de Información.

Con base en lo anterior lo más lógico para evitar la fuga de información es implementar acciones que nos lleven a evitar que alguno de los tres incidentes previamente mencionados ocurran, por lo cual plática se centro mucho en el tema de AWARENESS ya que podemos tener una arquitectura tecnológica a “prueba de balas” pero si descuidamos el factor humano es casi un hecho que la seguridad falle y todo lo que hayamos invertido sea en vano.

Lo anterior me gusta ejemplificarlo con el siguiente esquema:

Como se puede apreciar en la parte derecha muestra una típica arquitectura dentro de una empresa, la cual abarca desde la capa física hasta la capa de procesos y gente, y en la parte izquierda se muestran diversos controles que se han implementado para cubrir la seguridad en cada una de las capas, dichos controles abarcan guardias de seguridad, cámaras de vigilancia, firewalls, IDS’s, antivirus, analizadores de contenido, etc., sin embargo no se implementó uno que es básico dentro de cualquier arquitectura de seguridad el cual es el AWARENESS, este control va dirigido a la gente y busca generar conciencia en materia de seguridad.

Para dar un ejemplo de cómo y a quién se debe enfocar el awarennes, presento el famoso triángulo de conocimiento organizacional.

Dentro de esta gráfica se puede apreciar que tipos de concientización existen y a quién se deben dirigir, lo cual nos da una clara idea de cómo podríamos iniciar nuestra campaña de concientización dentro de nuestras empresas.

Por último, quiero cerrar mi experiencia dentro del b:Secure Conference agradeciendo a Carlos Fernández de Lara, editor de la revista b:Secure, por haberme invitado a formar parte de los conferencistas de tan importante evento, así como reiterando mi apoyo para futuros eventos y acciones que ayuden a generar conciencia así como fortalecer los conocimientos en materia de Seguridad de la Información.

Mi experiencia en la: “Conferencia Latinoamericana de Seguridad y Administración del Riesgo”

Como había comentado anteriormente, el pasado 1 y 2 de marzo se llevó a cabo la Conferencia Latinoamericana de Seguridad y Administración del Riesgo en la ciudad de Bogotá Colombia, en donde tuve el honor de formar parte de los conferencistas de tan importante evento.

Fue una experiencia muy enriquecedora pues tuve la oportunidad de conocer nuevos amigos y colegas, lo cual considero es lo más valioso que me proporcionó el evento, pues finalmente todos lo sabemos y no es un secreto en este mundo de profesionales altamente capaces uno puede destacar gracias a las relaciones con que cuentas. 

por lo que quiero agradecer a:

• Johanna Castillo.
• Juan Manuel Peña.
• Raúl Gómez Escamilla.
• José Euclides Vera Garrido.
• Hugo Hernández.
• Alejandro Cervantes.
• Daniel Chacon.
• Alberto Ávila Angel.
• Edward Sánchez Fajardo.
• Olivero Prieto Cely.

Por haberme permitido convivir con ustedes en este importante evento y espero haber podido aportar algo que los ayude en su desempeño profesional.

Entrando de lleno al tema les platico un poco sobre mi conferencia la cual estuvo titulada, “Caso Práctico de Análisis de Riesgos y su Integración con el Modelo de Gestión de Tecnología”.

Dentro de esta conferencia se comentó la diferencia existente entre un “Modelo de Gestión de Tecnología” y un “Modelo de Análisis de Riesgo”, se describieron aspectos prácticos a considerar en la implementación de cada uno de ellos, así como la forma en que un modelo puede apoyar al mejoramiento del otro.

Espero que mi participación dentro de este evento haya sido del agrado de la audiencia, pero sobre todo les ayude en el manejo e implementación de lo que es la identificación, análisis, evaluación, ponderación y administración del riesgo.

Dentro de este evento hubo varias conferencias muy interesantes dentro de las cuales puedo destacar la de Mario Ureña, la cual se llamó:

Implementación del Sistema de Gestión de Continuidad del Negocio Basado en BS25999

Mario compartió con nosotros sus vastos conocimientos en materia de Planes de Continuidad, dando ejemplos reales de situaciones que han acontecido en diferentes lugares del mundo, así como tips para la implementación de dichos planes dentro de una empresa.

Por último quisiera agradecer a ISACA y a Elia Fernández por haberme dado la oportunidad de participar como conferencista, espero haber cumplido con sus expectativas y poder participar en futuros eventos.

bSecure Conference, Ciudad de México

Hollywood Meets Technology

El próximo 10 y 11 de marzo se llevará a cabo el “bSecure Conference, Ciudad de México”, para el cual tengo el honor de formar parte de los conferencistas de este importante evento que ya lleva muchos años realizándose con un gran éxito.

Dentro de este evento tendré el honor de impartir la conferencia de:

Collateral Data Loss Prevention

Sinopsis: De la saga literaria: Trabajando con el enemigo y Los datos son míos porque yo los trabajé llega una obra adaptada al séptimo arte sobre uno de los males más comunes en las compañías: la fuga de información y la necesidad por definir si es un mal del empleado, las políticas o las tecnologías.

En esta ocasión, estaré compartiendo directamente el escenario con un gran especialista en Seguridad, Rosa María Camargo Carter Director de Seguridad Lógica y Normatividad de PROSA.

Sin duda éste será un evento muy interesante del cual podremos aprender y ampliar nuestro conocimiento en relación a Seguridad de la Información ya que asistirán grandes Profesionales del tema como son:

• Mario Ureña Cuate, con el tema: "88 minutos…para certificar"
• Adrián Palma, con el tema: "The Cloud Reloaded: Seguridad en la nube"

Es un evento que recomiendo ampliamente y del cual puedes obtener más información en la siguiente liga:

http://www.bsecureconference.com.mx/index.htm

Por último quisiera agradecer a Carlos Fernández de Lara por haberme invitado a participar a este importante evento, espero sea del agrado de todos el tema que estaremos presentando así como el poder seguir participando en eventos tan importantes como éste.