Mi experiencia en el "b:Secure Conference 2010"

Tal como había comentado anteriormente, el pasado 10 y 11 de marzo de se llevó a cabo el “b:Secure Conference, Ciudad de México” en las instalaciones del hotel Camino Real, en donde tuve la oportunidad de compartir el escenario con Rosa María Camargo Carter Director de Seguridad Lógica y Normatividad de PROSA.

Mi conferencia trató el tema de fuga de información, específicamente si es o no posible evitarla.

Uno de mis primeros objetivos fue el dejar claro que es la fuga de información, ya que ésta puede ser percibida de muchas maneras por lo que hago la siguiente definición

Se puede entender como fuga de información la ocurrencia de los siguientes eventos:

•Pérdida de Información.

•Divulgación NO Autorizada de Información.

•Robo de Información.

Con base en lo anterior lo más lógico para evitar la fuga de información es implementar acciones que nos lleven a evitar que alguno de los tres incidentes previamente mencionados ocurran, por lo cual plática se centro mucho en el tema de AWARENESS ya que podemos tener una arquitectura tecnológica a “prueba de balas” pero si descuidamos el factor humano es casi un hecho que la seguridad falle y todo lo que hayamos invertido sea en vano.

Lo anterior me gusta ejemplificarlo con el siguiente esquema:

Como se puede apreciar en la parte derecha muestra una típica arquitectura dentro de una empresa, la cual abarca desde la capa física hasta la capa de procesos y gente, y en la parte izquierda se muestran diversos controles que se han implementado para cubrir la seguridad en cada una de las capas, dichos controles abarcan guardias de seguridad, cámaras de vigilancia, firewalls, IDS’s, antivirus, analizadores de contenido, etc., sin embargo no se implementó uno que es básico dentro de cualquier arquitectura de seguridad el cual es el AWARENESS, este control va dirigido a la gente y busca generar conciencia en materia de seguridad.

Para dar un ejemplo de cómo y a quién se debe enfocar el awarennes, presento el famoso triángulo de conocimiento organizacional.

Dentro de esta gráfica se puede apreciar que tipos de concientización existen y a quién se deben dirigir, lo cual nos da una clara idea de cómo podríamos iniciar nuestra campaña de concientización dentro de nuestras empresas.

Por último, quiero cerrar mi experiencia dentro del b:Secure Conference agradeciendo a Carlos Fernández de Lara, editor de la revista b:Secure, por haberme invitado a formar parte de los conferencistas de tan importante evento, así como reiterando mi apoyo para futuros eventos y acciones que ayuden a generar conciencia así como fortalecer los conocimientos en materia de Seguridad de la Información.

Mi experiencia en la: “Conferencia Latinoamericana de Seguridad y Administración del Riesgo”

Como había comentado anteriormente, el pasado 1 y 2 de marzo se llevó a cabo la Conferencia Latinoamericana de Seguridad y Administración del Riesgo en la ciudad de Bogotá Colombia, en donde tuve el honor de formar parte de los conferencistas de tan importante evento.

Fue una experiencia muy enriquecedora pues tuve la oportunidad de conocer nuevos amigos y colegas, lo cual considero es lo más valioso que me proporcionó el evento, pues finalmente todos lo sabemos y no es un secreto en este mundo de profesionales altamente capaces uno puede destacar gracias a las relaciones con que cuentas. 

por lo que quiero agradecer a:

• Johanna Castillo.
• Juan Manuel Peña.
• Raúl Gómez Escamilla.
• José Euclides Vera Garrido.
• Hugo Hernández.
• Alejandro Cervantes.
• Daniel Chacon.
• Alberto Ávila Angel.
• Edward Sánchez Fajardo.
• Olivero Prieto Cely.

Por haberme permitido convivir con ustedes en este importante evento y espero haber podido aportar algo que los ayude en su desempeño profesional.

Entrando de lleno al tema les platico un poco sobre mi conferencia la cual estuvo titulada, “Caso Práctico de Análisis de Riesgos y su Integración con el Modelo de Gestión de Tecnología”.

Dentro de esta conferencia se comentó la diferencia existente entre un “Modelo de Gestión de Tecnología” y un “Modelo de Análisis de Riesgo”, se describieron aspectos prácticos a considerar en la implementación de cada uno de ellos, así como la forma en que un modelo puede apoyar al mejoramiento del otro.

Espero que mi participación dentro de este evento haya sido del agrado de la audiencia, pero sobre todo les ayude en el manejo e implementación de lo que es la identificación, análisis, evaluación, ponderación y administración del riesgo.

Dentro de este evento hubo varias conferencias muy interesantes dentro de las cuales puedo destacar la de Mario Ureña, la cual se llamó:

Implementación del Sistema de Gestión de Continuidad del Negocio Basado en BS25999

Mario compartió con nosotros sus vastos conocimientos en materia de Planes de Continuidad, dando ejemplos reales de situaciones que han acontecido en diferentes lugares del mundo, así como tips para la implementación de dichos planes dentro de una empresa.

Por último quisiera agradecer a ISACA y a Elia Fernández por haberme dado la oportunidad de participar como conferencista, espero haber cumplido con sus expectativas y poder participar en futuros eventos.