El día viernes 23 se llevó a cabo en la sede del INICTEL-UNI en Lima, el Seminario de Seguridad de la información al que asistí y del que les dejo una pequeña reseña del evento. El ingreso al mismo fue libre con un pago opcional por certificado.

La conferencia dio inicio con la presentación por parte de ONGEI, con la exposición del marco conceptual y el estado actual de la legislación en seguridad informática en el Perú, así como la transcendencia de la norma NTP – ISO/IEC 17799:2007 en las instituciones del estado peruano. El experto de ONGEI felicitó la iniciativa del INICTEL-UNI por crear un CSIRT para la UNI, que en buena parte sería la continuación de lo que fue el proyecto CSIRT-UNI que dio origen a esta Web y que por diversas razones nunca llego a concretarse. Resulta alentador saber que se empieza a trabajar en el establecimiento del CSIRT-UNI, esperemos que en esta ocasión se llegue a materializar.

Continuó la exposición por parte de GMD y la seguridad involucrada en su Centro de Operaciones Tecnológicas (COT) que fue posible gracias a la integración entre las normas ISO 9001 e ISO 27001:2005, basándose en el marco de trabajo definido por MAGERIT para la evaluación y análisis de riesgos. Para el datacenter implementaron las políticas definidas por el estándar TIA 942, con sus 4 niveles. Actualmente GMD mantiene el nivel III, ya que según indicó el expositor, no es posible implementar en Lima el nivel IV, debido a restricciones en el suministro eléctrico (El nivel IV requiere que se tenga mínimos dos proveedores diferentes de suministro eléctrico y en Lima solo existe uno). A su vez indico el expositor que GMD se ha planteado como meta llevar el nivel de CMMI 3 y la ISO 27001 para su Software Factory.

Llegó el turno para HP con la presentación de su línea de productos IPS (Sistema de prevención de intrusos) que a diferencia de un IDS (Sistema de detección de intrusos) el IPS previene, mientras que el IDS detecta. El IPS actúa en el nivel 7 de la capa OSI, mientras que por ejemplo un firewall actúa solo en el nivel 2.

También se hizo presente McAfee con su línea de productos y la presentación de su McAfee Labs donde expertos alrededor del mundo se encargan de monitorear y analizar las amenazas, indicó también que recientemente se abrieron las oficinas de McAfee Perú.

Prosiguió con Cisco, donde un instructor se encargó de presentar la gama de productos Cisco, por ahí uno de ellos era orientado a la seguridad, su tema fue “La seguridad en las comunicaciones unificadas”, aunque se limitó a presentar las bondades de los productos Cisco sin hablar de ningún tema de seguridad en especial.

Finalmente cerró el seminario ISec, que a mi criterio fue la mejor exposición de la noche, con el tema “Nace una nueva profesión: Jefe de seguridad de la información” dio una descripción del panorama actual de la seguridad en el Perú, y hablo sobre las cada vez más crecientes necesidades del mercado por los profesionales de seguridad, como investigadores forenses informáticos y oficiales de seguridad. Según indicó el expositor a partir de mayo del presente año, los bancos están en la obligación de contar con un oficial de seguridad de la información. Dio además una descripción de los requisitos que deben cumplir los jefes de seguridad de la información, junto a una clara descripción de lo que a su criterio será el panorama de la seguridad de la información por los próximos años en el Perú.