miércoles, agosto 04, 2010

Seguridad (o no, o no tanta) en Internet y gobernanza de Internet - Sesión preparatoria regional del Foro sobre Gobernanza de Internet IGF)

Notas de la sesión sobre seguridd de la Reunión Preparatoria Regional para el Foro sobre Gobernanza de Internet (IGF),Quito, 4 de agosto de 2010, sesión vespertina

Notas de A. Pisanty tomadas en la sesión:


Moderadores: Carlos Martínez Cagnazzo y Christine Hoepers

Relator: A. Pisanty


Christine.

Pide enfocar la sesión en seguridad, no en la relación seguridad-privacidad. Observa que en el IGF no se tratan políticas útiles en materia de educación y desarrollo de personal, software seguro, etc. Los problemas fundamentales son éstos. Hay que evitar que sigamos en la misma situación en 20 o 30 años.

Actualmente dependemos de que las universidades formen profesionales en tecnologías de la información. Los profesionales que egresan de ellas no están preparados para desarrollar software que sea seguro.

Se discuten las implicaciones de nuevos servicios o protocolos sin la mentalidad de seguridad. La industria completa tiene que cambiar.

Buscar incentivos de todo tipo, no, o no particularmente, legislación. Los productos y protocolos son cada vez más complejos y eso causa problemas si no se desarrollan con consideraciones de seguridad.

¿Qué queremos del mundo y en particular de nuestra región en materia de software seguro?
Aunque tenemos sólo una fracción de la población conectad a Internet, ya sufrimos todos los problemas de seguridad, redes vulnerables que son objeto de abuso, etc.


Carlos:

En sesiones preparatorias anteriores, no ha habido suficiente foco en temas sustantivos de seguridad. Convoca a atenderlos.

Conceptos que han descarrilado las discusiones anteriores:

Uso de redes sociales en México con pseudónimos para evitar secuestros; mayor preocupación por seguridad física que por la de los datos.

Confusión frecuente entre seguridad como “seguridad” y como “safety”.

“Safety” es lo que se logra mediante controles, lógicos o físicos. En ambos hay una ventana para el conflicto; véase por ejemplo derechos de intercepción por parte de la policía. No son enteramente nuevos estos debates.

“Security” – varios conceptos, computer, information, etc. security. Computer security – que no sea un bot; network security: ruteadores, DNS.

Seguridad de la información: autenticidad, integridad y confidencialidad. No sólo se aplica a computadoras sino a papel, incluso basura que es inspeccionada para cometer delitos con la información capturada.

Ciberseguridad y otros términos pueden ser confusas.

No usar el pretexto de la seguridad para imponer controles.

La mayor parte de los incidentes informáticos tiene motivación económica; ya no son movidos por adolescentes en busca de fama sino por mafias organizadas. Éstas usan muchas técnicas, algunas tradicionales como el uso de “mulas”.


Pisanty. Relación entre el IGF y el medio profesional de seguridad. Desconexión importante, y desfase de aproximadamente dos años.


Carlos Martínez. Algunas preguntas:

¿Mejorar coordinación entre países? ¿creación de CERTs, relación entre fuerzas del orden de distintos países?

Balance entre seguridad y privacidad, o control, privacidad y seguridad. China, Australia y Nueva Zelanda.

¿Qué es el delito informático? ¿la legislación respectiva es adecuada? ¿qué necesitamos para atacar el delito relacionado con Internet?

Educación: ¿estamos enseñando lo necesario en las universidades? La seguridad debe estar en el software desde su concepción y eso no ocurre en general. ¿Entienden los usuarios a qué están expuestos?

Entender los riesgos no debe llevar a magnificarlos. La seguridad es un conjunto de prácticas y tecnologías habilitadoras de nuevos negocios.



Bernadette Lewis (gobierno) Caribbean Internet Governance Forum – ha creado un grupo para políticas que ha producido políticas orientadas a seguridad.

Existe una agencia especializada que se va a orientar también a “ciberdelito”, o la naturaleza “ciber” de los delitos. Piden a los gobiernos enfocar atención en su persecución, mitigar el mal uso de recursos de Internet, crear conciencia y “awareness”, formación de recursos humanos, especialmente en las agencias de las fuerzas del orden. Promueven creación del CSIRT del Caribe. Promueven auditoría de seguridad a los sistemas de información gubernamentales.


Sandra (ESLARED, Venezuela) Han enfocado atención en seguridad al formar profesionales desde hace 10 años. Acaba de realizar análisis de seguridad para una red grande. Encontraron niveles de riesgo importantes que sólo se pueden manejar con inversiones importantes.
Encuentran resistencia de las autoridades a hacer las inversiones en seguridad como adicionales a las hechas para conectividad. Han logrado convencer a las autoridades de hacer campañas de difusión hacia los usuarios, que no se sienten competentes en seguridad. También hay deficiencias de educación entre administradores de recursos importantes que dejan accesibles activos de información sensibles.

No basta con inversión; hacen falta estrategia, táctica y operación.

Le preocupa que no salgan recomendaciones puntuales.

Necesidad de mayores recursos, y de usar las tecnologías para bienestar de la sociedad.


Carlos Martínez.

Retoma de la intervención de Sandra:

Que los costos de hacer las cosas mal se vuelvan mayores que los de hacer las cosas bien.

Sobre normas y políticas: enfocar por tipo de organización, no afirmaciones exageradamente generales.


Nicolás Antoniello (sector privado) Describe situaciones que enfrentan los usuarios al usar su navegador de Internett y configurarlo. Menciona DNSSEC.


Carlos Martínez recoge:

DNSSEC

Desarrollo de software


Carlos Vera

La gente exige cada vez más seguridad y está dispuesta a sacrificar parte de su privacidad para alcanzarla. Ambas deben ir juntas. No sólo se habla de temas técnicos o legales sino también de la percepción de seguridad. Los usuarios no siempre usan los protocolos de seguridad disponibles.

Propone penalizar a personas que no usen los protocolos disponibles y produzcan vulnerabilidades.

El uso de Firma Electrónica Avanzada reduce privacidad y anonimato pero aumenta seguridad.


José Luis Segovia (del regulador telecomunicaciones, Perú)

Sobre comentario de A. Pisanty respectivo a desconexión del IGF.

Considera que el IGF debe hacer recomendaciones y lo identifica en el mandato del IGF.

Propone que en vez de discutir se trabaje sobre proyectos específicos, al menos a nivel de estrategias, con algún fondo para que se implementen las recomendaciones.



Alejandro Martínez Varela (ISOC México)

Las consideraciones de seguridad deben tomar en cuenta capacidades de los equipos de operación de redes que evolucionan rápidamente, por ejemplo Deep Packet Inspection.

Estas herramientas de seguridad se pueden volver en contra de los usuarios. Los dispositivos se van a instalar ya que cuestan lo mismo con y sin las características, y van a ser configuraciones estándar. La mayoría de los ISPs van a contar con capacidades como DPI aunque no las pidan al comprar equipo.

Marilia Maciel, Fundación Getulio Vargas.

Preocupaciones como usuaria de Internet:

Proponen atender también los temas de seguridad de Cloud Computing.

Cree que los profesionales de seguridad deben entender la gobernanza de Internet, pues son parte de un sistema más amplio que la incluye.

Considera ausencia lamentable la de la policía y otras fuerzas del orden en esta discusión. A su vez este personal debe saber contribuir a la formulación de políticas, de manera transparente, en público, y sin usar canales privilegiados.

Importancia de dar relevancia a discusiones del IGF en seguridad.

El tema seguridad es un tema importante y hay que volverlo transversal. Su discusión debe basarse en agendas propias y no en una temática impuesta.


Rudi (T&T)

Normalmente ve la seguridad en Internet como física, operacional, etc.

La reputación también forma parte de la seguridad. Los sistemas basados en reputación van a ser más útiles a largo plazo.


Erick Iriarte.

La meta 81 del plan de eLAC convoca a los países a adherirse al Tratado de Budapest (Convención Europea sobre Cibercrimen); varios ya lo han hecho.

Regulación: toda LAC tiene legislación sobre delitos cibernéticos, propia o en otros códigos.

Cuando se trata de aplicar la legislación falta capacitación de jueces, fiscales, etc.

Es necesario aumentar capacidades en todas las áreas; ésa es crítica.

María Sande (MRE, Uruguay)

Buscar mayor seguridad en toda materia informática, evitando problemas



Christine comentarios para clausura:

Repetición de problemas de 25 años – hacer mejor software con gente mejor educada para ello.

Asumir que la computadora del usuario está comprometida; no confiar en ella. Aplicar esta desconfianza para todo diseño.

Los sistemas son demasiado complejos para que los usen los usuarios, y para que los protejan los técnicos.

La comunidad Internet y de desarrolladores debe hacer sistemas más simples. Le pedimos demasiado a los usuarios.

Pensar cómo cambiar el futuro. Mientras tanto seguimos preocupándonos de proteger.



Carlos Martínez

Resumen propio:

Seguridad en la nube es casi imposible.

Construcción de capacidades es clave para atender el carácter transnacional de la seguridad en Internet.

Los sistemas de seguridad basados en reputación le parecen interesantes.

Coincide con Martínez Varela sobre la inutilidad de oponerse a prácticas como DPI; ser inteligentes


Extracto de la sesión (Pisanty):

1. visión holística de la seguridad en Internet
2. Educación y construcción de capacidades para todos (técnicos, operadores, desarrolladores, usuarios, jueces, fiscales, peritos, hacedores de políticas públicas, etc.)
3. Racionalidad técnica como base de las discusiones, lo cual las ha hecho muy productivas


Tres notas finales:

El IGF puede volverse menos útil, no más, en el momento en que se tenga que trabajar sobre textos resolutivos o de recomendaciones basadas en consensos reales o supuestos. Los acuerdos no son robustos respecto a cambios en la composición de la audiencia participante.

El tema “ciberseguridad” fue introducido en el IGF por la UIT con una implicación hacia seguridad nacional. Este enfoque alcanzó su máximo con la propuesta de una representante rusa de la creación de un tratado de ciberseguridad para evitar ataques entre países.

El tema de ciberseguridad como seguridad nacional prácticamente desapareció del IGF y se trata ahora en países como Estados Unidos, Rusia y China. Hay noticias de la semana pasada acerca de la intención de 15 países de crear un tratado de esta naturaleza que identifique qué es un acto de guerra en el ciberespacio, cómo atribuirlo correctamente a su origen, etc. Todo esto ocurre en el contexto de la Asamblea General de la ONU aunque no como parte de sus trabajos.

Este desplazamiento muestra que los gobiernos han descalificado al IGF como un foro adecuado para la discusión de temas tan críticos como los que afectan su seguridad nacional (desplazando de los mismos a la filosofía multistakeholder).

La sesión ha contribuido a sustituir una visión de “seguridad” por una más realista de administración de riesgos.

No hay comentarios.:

Publicar un comentario