|
DÍA 1 (Mayo 8 de 2008) |
|
HORA |
TEMA |
CONFERENCISTA |
PAIS |
|
7:00 – 8:00 |
REGISTRO |
|
8:00-9:00 |
Importancia de la Seguridad de la Información en el Sector Empresarial |
Víctor Cruz Vega |
España |
|
9:00-10:30 |
El RSA, Fortalezas y Debilidades |
Jorge Ramió Aguirre |
España |
|
10:30-10:45 |
BREAK |
|
10:45-12:00 |
Gobierno de Seguridad de la Información |
Ricardo Flores Grijalva |
México |
|
12:00-13:00 |
Amenazas y Riesgos de Seguridad en el Mundo Empresarial |
Marcelo Giménez |
Argentina |
|
13:00-14:00 |
ALMUERZO |
|
14:00-15:30 |
SANS Internet Storm Center – Fighting Malware and Recent trends |
Pedro Bueno |
USA |
|
15:30-17:00 |
Estrategia de Implementación de un sistema de Gestión de Seguridad de la Información |
Ramiro Merchán |
Colombia |
|
17:00-17:15 |
BREAK |
|
17:15-18:45 |
Nuevos Algoritmos de Factorización de Enteros para atacar RSA |
Hugo Scolnik |
Argentina |
|
DÍA 2 (Mayo 9 de 2008) |
|
8:30-9:45 |
Últimos ataques a las funciones Hash |
Jorge Ramió Aguirre |
España |
|
9:45-11:15 |
Implantando Gobierno de TI utilizando Cobit y Val |
Ricardo Flores Grijalva |
México |
|
11:15-11:30 |
BREAK |
|
11:30-13:00 |
Fraudes Bancarios – Ingeniería Social |
Marcelo Lau |
Brasil |
|
13:00-14:00 |
ALMUERZO |
|
14:00-15:30 |
Metodología de Defensa |
Frano Capeta |
Perú |
|
15:30-18:00 |
Concurso de Hacking |
Enrique Santiago |
Colombia |
Ingeniería Social
La seguridad de la información no es solamente una investida en equipos y tecnología. Hoy el comportamiento y las acciones personales permiten hoy grandes pérdidas financieras en grandes, medias y pequeñas empresas en todo el mundo. Y cómo siempre la seguridad es tan fuerte cuanto la fuerza de la más flaca argolla de una corriente. El tema Ingeniería Social permite conocer los riesgos y los métodos de utilizados en el mundo para obtener datos y informaciones que pueden poner en riesgo los negocios. Con recomendaciones importantes en protección a la ingeniería social.
Últimos Ataques a las Funciones Hash
Desde que en agosto de 2004 las investigaciones dela Dra. Wang y su equipo de la Universidad de Shandong demostrase lasdebilidades de una familia de funciones hash en el congreso Crypto 2004, entrelas que se encuentran MD5 y SHA-1, hace de esto ya tres años y medio,innumerables investigadores se han unido a esta cruzada de ataques,profundizado en tales vulnerabilidades y disminuyendo de una forma alarmante lafortaleza de estas funciones ante ataques basados en la paradoja delcumpleaños. A tanto ha llegado, que el NIST no tuvo otra solución que llamar acomienzos de 2007 a concurso público para la creación de una nueva función hashestándar, de forma similar a como lo hizo con el AES que reemplazó al viejoDES. En la conferencia se verá de forma práctica alguna de las característicaspositivas de tales funciones, así como diversas situaciones anómalas y ataquesa los que se han enfrentado MD5 y SHA-1.
Amenazas y Riesgos de Seguridad en el Mundo Empresarial
La presentación se centrará en la identificación de amenazas y riesgos recientemente identificados, y en los criterios a emplear para minimizarlos. Se mencionaran las tendencias identificadas en el Security Operation Center de Global Crossing. Asimismo, transmitiremos información del mundo underground recientemente relevada en el último Defcon.
El RSA: Fortalezas y Debilidades
RSA es el algoritmo usado por defecto paracomunicaciones seguras en las que intervienen claves públicas; por ejemplo, enconexiones SSL durante las fases de autenticación del servidor y en elintercambio de clave de sesión. La seguridad de tal algoritmo se basa en ladificultad de factorizar números grandes producto de dos primos tambiéngrandes, y existen diversos intentos en rebajar esa complejidad computacional aniveles polinomiales. No obstante, existen otros posibles ataques más o menos sofisticados que sepotencian si no se cuida el diseño en cuanto a los valores de los primosutilizados y la clave pública elegida. En la conferencia se analizará estaproblemática, se discutirá su factibilidad y se comentará el cuidado o no en laelección de valores de diseño que muestra un software estándar para lageneración de claves RSA como es open SSL, todo mediante ejemplos prácticos.
Atacando RSA mediante Nuevos Algoritmos
Se presentarán los resultados de un proyecto de investigación dedicado a desarrollar algoritmos de tiempo polinomial para factorizar enteros, y cuya aplicación natural es atacar RSA. Estos desarrollos pueden entenderse con muy escasos conocimientos de teoría de números. Durante la charla se mostrará software de precisión múltiple que implementa los resultados logrados, se plantearán problemas abiertos, y se explicarán las diversas líneas de investigación.
Fraudes Bancarios
Los crímenes digitales en pagos electrónicos son conocidos en todo el mundo, pero el desarrollo existe en los diversos servicios bancarios conocidos, desde la fraude en el pago de servicios hasta clone de tarjetas y transacciones realizadas por la Internet. La protección puede ser una defensa muy importante a los clientes e a todo el sistema financiero. Conozca los intentos actuales y las tendencias en técnicas utilizadas por los timadores y las medidas de defensa técnicas y comportamientos para la disminución de pérdidas financieras.
Metodología de Defensa
Esta conferencia trata acerca de cuales son las tecnologías existentes que las empresas e instituciones deberían de usar para proteger sus activos de seguridad, hace un detalle de las tecnologías de seguridad existentes (Firewalls, IDS, IPS, Controles de Acceso, HoneyPots) sus principales ventajas y desventajas así como la correcta forma de implantarlas.
SANS Internet Storm Center - Fighting Malwareand recent threats
The SANS Internet Storm Center (ISC) is the trusted source to refer tofor advice while under fire from attacks. Using immediate and unfilteredinformation sharing and analysis provided by our handler team, the ISC is ableto provide timely information to information security practitioners. This talkwill outline the inner workings of the ISC. You will learn how information isshared and how the group of volunteer incident handlers is able to assess,analyze and counter threats of global scale. In this presentation, you will bealso updated with some new and recent threats.
Estrategia de Implementación de un Sistema de Gestión de la Seguridad de la Información
A la par que se incrementa el uso de las tecnologías de información tambiénascienden en número y variedad los riesgos para las organizaciones, por tantose requiere de apropiados sistemas de gestión de seguridad de la información(SGSI) que permitan de manera integrada y global contrarrestar dichos riesgos.La implementación exitosa de un SGSI requiere de una apropiada estrategia quecomprenda aspectos claves como: Objetivos del negocio, amenazas,vulnerabilidades, grupos de trabajo, tecnologías de seguridad y esquemas demantenimiento entre otros. El seminario enfatiza en que el objetivo de un SGSIes proteger la organización y la capacidad para alcanzar su misión.
Implementar Gobierno de TI utilizando Cobit y Val IT
El gobierno de TI es la responsabilidad del cuerpo de Directores y Gerentes ejecutivos y es una parte integral del Gobierno Corporativo. El gobierno de TI puede ser visto como una estructura de relaciones y procesos para dirigir y controlar el uso empresarial de TI para soportar las estrategias y alcanzar los objetivos empresariales, añadiendo valor, balanceando el riesgo vs el retorno de la inversión de TI y sus procesos. La gobernabilidad de TI proporciona la estructura que une a los procesos de TI, recursos de TI e información de las estrategias y objetivos empresariales. Adicionalmente la gobernabilidad de TI integra e institucionaliza las mejores practicas en la planeación y organización, adquisición e implementación, liberación y soporte, y el monitoreo y evaluación del rendimiento de TI para asegurar que la información empresarial y la tecnología relacionada soportan los objetivos del negocio. El gobierno de TI permite a la empresa tomar total ventaja de su información, maximizando sus beneficios, capitalizando las oportunidades y obteniendo ventajas competitivas. También identifica debilidades de control y asegura la implementación eficiente y efectiva de mejoras cuantificables.
Al término de la sesión, el participante entenderá que con la implementación de Gobierno de TI utilizando Cobit y Val IT en su empresa, obtendrá:
- Una alineación de la estrategia de TI con la operación empresarial.
- Difundir la estrategia y las metas por toda la empresa.
- Proporcionar las estructuras de organización que faciliten la puesta en práctica de estrategias y metas.
- Una estructura de control de la TI que se adopte e implante.
- Una adecuada administración de riesgos de TI.
- Un retorno de inversión en la tecnología y procesos.
- Poder medir el desempeño de TI.
Gobierno de Seguridad de la Información
El gobierno de seguridad de la información es parte del marco de gobierno de la organización, provee de dirección estratégica, asegura que los objetivos de la organización sean completados, asegura que los riesgos sean administrados apropiadamente, fomenta el uso responsable de recursos, y monitorea que el programa de seguridad de la información se complete de manera exitosa o se detecten fallas. La seguridad de la información se refiere a todas las expresiones de la información (hablada, escrita, impresa, electrónica, etc.) y al manejo de la misma (creada, vista, transportada, almacenada, o destruida).
Al término de la sesión, el participante entenderá que:
- La información y reputación de la organización son recursos tan importantes como el capital
- La información hace negocios, prácticamente todas las organizaciones dependen de ésta
- La seguridad de la información no se refiere únicamente a aspectos técnicos
- El Gobierno de Seguridad de Información Involucra un adecuado manejo de riesgos, reporte de su estatus y establecimiento de responsabilidades
- Roles y responsabilidades tienen los participantes de Gobierno de la Seguridad de la Información.
- Métricas para monitorear el desempeño del programa de seguridad.
- Es soportado por la alta dirección (políticas, estándares, procedimientos, y guías)
- El Gobierno de Seguridad de la Información puede basarse en Cobit e ISO 27001.
