La importancia de la seguridad física de la información, en OWASP Day 2013
15 de Noviembre de 2013Conversamos sobre el tema con Mateo Martinez, Consultor en Foundstone para Cono Sur y co-lider del capítulo Uruguay de OWASP
El OWASP Day 2013 que se celebró en Montevideo el pasado martes, tuvo un capítulo importante sobre un tema al que las empresas estan prestando cada vez mas atención: la seguridad física. Sobre el Taller que se ofreció en dicho evento, conversamos con Mateo Martinez, fundador del capítulo Uruguay de OWASP y co-lider del mismo junto con Mauro Flores y Felipe Zipitría.
- ¿Qué es Lockpicking?
- El Lockpicking es el arte de abrir una cerradura o candado mediante el análisis y manipulación de los componentes de la misma sin tener la llave original. Además, no se debe dañar la propia cerradura, permitiendo que sea utilizada en forma habitual luego de ser abierta, lo cual es especialmente importante con antiguas cerraduras que serían imposibles de reemplazar si se utilizan métodos destructivos. Aunque el Lockpicking se pueda asociar con intenciones criminales, es una habilidad esencial para un cerrajero, y a menudo es aprendido por ciudadanos respetuosos de la ley como una habilidad útil para aprender o simplemente como un hobby.
- ¿Cuál es el objetivo de un Taller de Lockpicking en el OWASP?
- Las técnicas de Lockpicking son muy comunes en los eventos más reconocidos de seguridad de la información a nivel mundial, como Blackhat (USA) o Ekoparty (Argentina) entre otros. Además es una técnica utilizada muchas veces dentro de las pruebas de seguridad física realizadas en las pruebas realizadas a las organizaciones para evaluar su nivel de protección de la información. Por este motivo fue que al equipo de OWASP Uruguay le pareció muy conveniente traer de Argentina a este grupo de expertos para empezar a capacitar a las personas de Uruguay que trabajan en Seguridad de la Información y que brindan este tipo de servicios de asesoría para diversas organizaciones locales.
El taller, en el marco del OWASP Day FING 2013, fue brindado por Juan Ignacio Bousquet y Juan Urbano Stordeur, profesionales de seguridad de la información argentinos, invitados por Agesic, quienes se desempeñan como Pentesters en la empresa argentina InfoByte.
Mateo Martinez, reconoce que en ’en el mercado uruguayo se está notando una fuerte inversión en temas de capacitación de personal y en la contratación de servicios de consultoría especializados en seguridad para asesorar a las organizaciones en este tipo de problemáticas. Para las empresas es necesaria la protección de la información que se maneja tanto por temas de confidencialidad como de cumplimiento con normativas regulatorias. Esto hace que la asistencia a este tipo de eventos como el OWASP Day cada día suma más participantes y empresas interesadas en que su personal asista y se encuentre al día con las tendencias del mercado’.
- ¿Porqué es importante que los profesionales de sistemas y de seguridad de la información conozcan las técnicas de hacking?
- Es importante para los profesionales de sistemas y de seguridad de la información conocer este tipo de técnicas debido a que si bien la información a pasado de almacenarse fisicamente a digitalmente, finalmente la misma se almacena en discos rígidos, storage, cintas de backups etc que terminan siendo nuevamente medios físicos. Con lo cuál sigue siendo un punto crucial el mantener la integridad de la seguridad física de la información. En este punto las técnicas de lockpicking son importantes para poder asesorar también en los tipos de controles y cerraduras que se deben aplicar para salvaguardar la información que protegemos dentro de las diferentes organizaciones.
Finalmente, Martinez dejó saber su opinión respecto del exito del evento.
- En mi opinión personal el taller del Lockpicking fue un éxito rotundo, tanto durante los cortes donde se hicieron talleres prácticos y siempre llenos de gente interesada, así como la presentación brindada con ejemplos prácticos y videos detallados tanto para la apertura de cerraduras tradicionales como biométricas, donde falsificaron una huella dactilar el día del evento- finalizó.
Más información: @mateomartinez1.