#4.06 - Ciberseguridad en la nube

Marcia Villalba: 0:13

Hola y bienvenidos a otro episodio del de charlas técnicas de AWS. Mi nombre es Marcia Villalba y soy Developer Advocate para AWS serverless.

Guillermo Ruiz: 0:23

Buenas por aquí Guille Developer Advocate para la región de Iberia.

Marcia Villalba: 0:28

Cómo estás Guille? Otra semana más.

Guillermo Ruiz: 0:30

Otra semanita que pasa. Pues nada, seguimos con el anuncio del Madrid Summit de AWS, que se celebra el 15 de Junio. Siguen las entradas disponibles para que os podáis registrar y recordaros también que tenemos un Hackathon for Good al servicio de la sostenibilidad con varias ONGs como Cruz Roja, Acciona, y la Once para que podáis participar y desarrollar nuevas soluciones.

Marcia Villalba: 0:54

Así que todos los links en la descripción de este episodio.¿Vos mencionabas algo que había Call for Papers para el Summit?

Guillermo Ruiz: 1:02

Sí, todavía estáabierto el plazo por si alguien quiere dar una charla técnica, hacer alguna propuesta, dejaremos el link por aquí debajo para que podéis conectar.

Marcia Villalba: 1:11

Buenísimo. Así que si son los anuncios que tenemos hoy. Y con eso vamos a arrancar el tema del episodio de hoy que vamos a estar hablando de ciberseguridad . La seguridad es uno de esos temas que siempre que publicamos un episodio a ustedes les encanta. Así que más de lo mismo Y esta vez tenemos una persona que viene a contarnos un montón de cosas desde la experiencia que ha trabajado muchísimos años con ciberseguridad Sheyla Leacock, que es una de nuestras Community Builders ...¿cómo andas Sheyla?.

Sheyla Leacock: 1:41

Hola, Marcia, hola, Guillermo. Muy bien, y ustedes, ¿Cómo están?

Marcia Villalba: 1:45

Muy bien, encantados de que estés acá.¿De dónde te estás conectando?

Sheyla Leacock: 1:49

Desde Panamá.

Marcia Villalba: 1:51

Desde Panamá!¿Cómo decís AWS?

Sheyla Leacock: 1:57

AWS. Sí, sí, sí.

Marcia Villalba: 2:00

Así ya la audiencia sabe qué se va a encontrar. Contanos un poquito. Quién sos, por qué nos venís a hablar de ciberseguridad?

Sheyla Leacock: 2:11

Bueno, primero que todo. Tengo ya cierto recorrido en temas de ciberseguridad, varios añitos pues trabajando en el sector. Ahorita estoy como oficial de ciberseguridad, bueno, seguridad en la transformación básicamente para una entidad bancaria acá en Panamá. De igual manera, digamos que hago otras cositas, por ejemplo, soy instructora en cursos de ciberseguridad tanto para México como para Chile en unas empresas con las que he laborado allí. Y de . Igual manera, pues me gusta mucho promover los temas de participación tanto en ciberseguridad como en tecnología. Entonces soy cofundadora de Women of Security Panamá. Es una iniciativa con la que buscamos justamente visibilizar a más mujeres en ciberseguridad. También soy embajadora comunidad Dojo, otra organización con la que buscamos, como quien dice impactar a la mayor cantidad de personas posibles en temas de tecnología y ciberseguridad. Y bueno, Community Builder de AWS también. Así que, ese es un poquito el resumen.

Marcia Villalba: 3:18

Así que para lo que no están escuchando, esta señorita sabe, y mucho ¿Y cómo llegaste a la ciberseguridad? Porque es algo que es como un poco oscuro, cuando uno lo ve, sale de la universidad, termina apareciendo por desarrollo u operaciones, pero no sé, la ciberseguridad a veces no es uno de esos caminos que la gente hace, ¿Cómo fue el tuyo? Tal cual?

Sheyla Leacock: 3:44

Y mira que yo vengo bueno del área desarrollo de software que fue, pues, lo que me gradué. Bueno, antes de eso, estuve por biología un tiempo y bueno, y fui dando como quien dice varias vueltas, pero digamos que desde la secundaria, o sea, cuando estaba en la escuela, pues di también temas relacionados a tecnología. Entonces, ahí en su momento, supe por lo menos quería programar. Entonces, a la final de la universidad, me fui por esa área. Y cuando estaba como en segundo año, anunciaron justamente una maestría en seguridad informática. Entonces, antes de eso, para mí era como que desconocido. De pronto había escuchado unas cuantas veces nada más, la palabra por allí y me interesó bastante. O sea, vi el plan de estudio, dijo oye, esto me interesa o mira que también lo puedo aplicar en temas de desarrollo. Lo puedo aplicar en temas de redes. O sea, era como algo muy amplio, por decirlo así. Pues, abarcaba tantas cosas y me llamó mucho la atención. Pues oye, cómo, digamos que esta área se puede relacionar con tantas cosas a la vez. Entonces me fui yendo como que pasito a pasito y metiéndome más en temas de ciberseguridad. Y sobre todo hablando, que creo que eso es lo importante. En ese memento, pues cuando estaba trabajando, también se había

comentado: 4:53

"oye me interesa la ciberseguridad en un par de años me gustaría, pues, irme por ese camino". Y así, poco a poco pues me fueron brindando oportunidades. Me fui capacitando, fui aprendiendo y bueno, empecé ya como quien dicen en el camino de la seguridad. Es un camino de aprendizaje constante. O sea, uno nunca termina de aprender. Y uno nunca se la sabe todas realmente.

Marcia Villalba: 5:17

Y acá estás peleando básicamente contra los malos o los atacantes. Así que es como vos aprendes una cosa, ellos aprenden otra. Vos aprendes...

Sheyla Leacock: 5:27

Y como dicen, no? Y como dicen que por lo general los ciberdelincuentes, pues nunca duerme. Tú estás acá durmiendo y dices, ay, me voy de vacaciones, no sé qué, están ellos allábuscando cómo atacar, cómo romper algo. Entonces es cuestión de uno estar como que siempre también ahí sin quedarse atrás, no porque sino hasta ahí llegamos.

Marcia Villalba: 5:48

Sí. Hay que programar, hay que programar para trabajar en ciberseguridad o no?

Sheyla Leacock: 5:54

No, mira que no. Digamos que eso es lo bonito que tienes, como que tantas aristas, por decirlo así, o tantos caminos, por lo que puedes decirte, conozco a gente que tiene un background diferente que viene, por ejemplo, de ser azafata, de ser enfermera, de ser psicólogas. O sea, vienen de tantos caminos diferentes y a la final, puedes aplicar la ciberseguridad, o sea, en diversos aspectos, puedes irte por la parte de concientización, por ejemplo, que está la parte de enseñanza y de capacitar y decir oye, mira, todo lo que está pasando en el mundo, a todo lo que estamos expuestos como nos podemos proteger y demás. No necesitas saber programar para eso. Puedes ver temas de gestión de vulnerabilidades o gestión de riesgos donde tampoco necesitas quizás entender un poquito de temas de cómo funciona una computadora, cómo funcionan las redes y demás, pero no necesariamente programar. Y también, si ya te gusta la programación, pues como fue en mi caso, está la parte desarrollo seguro o que si te haces qué sé yo, lo que se llama un exploit, o qué se yo, tienes un montón de temas por hacer, como quien dice y dónde aplicar la programación como para crear también cositas, para crear automatizaciones, para crear defensas y ya en la parte de pentesting, que también es una creo que posiblemente más conocida como quien dice en el bongo, te hablan de ciberseguridad y posiblemente piensas de una vez en pentesting ¿no?

¿ Marcia Villalba: 7:23

Puedes explicar para la audiencia que nunca escuchó pentesting que es?

Sheyla Leacock: 7:27

Ajá, el pentesting o pentester son básicamente esos, por decirlo así, hackers éticos, porque al final pues hacker igual la palabra es, no es una palabra mala. Ese es otro tema que se suele confundir. O sea, los hackers por lo general, pues son personas que tienen mucha pasión, mucho conocimiento en algún tema y lo utilizan. Aunque por lo general lo relacionan pues como quien dice con cosas malas o con los ciberdelincuentes como tal, pues digamos que podría ser la palabra. Pues el pentesting lo que hace es justamente ponerse en la vista de ese ciberdelincuente o de ese cibera atacante de qué es lo que podría hacer para explotar, por ejemplo, un sistema para ingresar a buscar como que esos caminos de encontrar información y demás, pero lo hace de buena manera, o sea, lo hace como para, oye, mira quiero reportarte esto, esto está pasando, tienes que aumentar tu seguridad, tienes que aumentar tus defensas sin irse, como quien dice a la parte mala, no? Entonces ese es más o menos lo que son pentester y por lo general puede aplicar también temas de programación porque si quiere automatizar tareas y demás, pues les dé muchísima ayuda. Y bueno, eso es un poquito, asícomo quien dice los caminos. Resumiendo, no es necesario saber programar propiamente, conocimientos sí, de sistemas, sabes, algo de Linux, algo de Windows. Es valor, es valorizado, por decirlo así, en mi caso, pues sabía también algo de administración de sistemas en linux, entonces eso me ayudó justamente a empezar en la ciberseguridad. Yo empecé en el área, pero no fue como que una vez sabiendo ciberseguridad, sino sabiendo administración de sistemas en linux y de ahí fui aprendiendo como quien dicen el día a día temas de seguridad. Así que.

Guillermo Ruiz: 9:16

Marcia, ¿dónde te ves tú en todos estos grupos que ha comentado Sheyla?

Marcia Villalba: 9:20

Bueno, yo tengo un máster en seguridad y soy programadora, así que he hecho un poquito de todo. Es que los filtros del instagram hace que parezca una niña, pero no lo soy. Pero sí, a mí la programación y el desarrollo seguro de aplicaciones siempre me interesó. Y es una de las buenas prácticas que desde siempre intento inculcar como developer advocate, cuando comparto código , porque la seguridad es lo primero. O sea, puedes tener el sistema más fantabuloso del mundo, pero el momento que tienes una vulnerabilidad de seguridad perdés la confianza de tus clientes. Y no. Puedes tener un sistema que no estédisponible, que falle, no pasa nada. Los clientes te lo perdonan en general, pero tenés una falla de seguridad en la cual vos le abrís datos que son, y mucha gente eso no lo perdona y me parece bien. Entonces es súper importante.

Sheyla Leacock: 10:25

Y me ha pasado, me ha pasado también que utilizando servicios y demás, de pronto sale una brecha de seguridad, se perdieron tanto datos y yo buscando cambiar de una vez, moverme hacia otro lado porque digo oye, no, o sea totalmente es algo que difícil de perdonar como quien dice pero bueno, sí.

Marcia Villalba: 10:42

Y vos Guille dónde estás?

Guillermo Ruiz: 10:46

Yo en la parte de conocer el lado oscuro para encontrar la solución. Al final, yo creo que ya ha prescrito, con lo cual creo que se puede contar. Pero en los años 90, por ejemplo, telefónica, tenía las cabinas telefónicas en las ciudades y diseñamos tarjetitas que conectábamos y podíamos llamar gratis a cualquier parte del mundo. Habíamos reventado los sistemas telefónicos . Siempre decíamos que era en plan experimentación, etc, pero era una forma de poder llamar a casa sin que nos costara el dinero.

Marcia Villalba: 11:18

Claro. Yo creo que una de las características, no sé, Sheyla, que que dirás vos. Pero para mí, una de las características fundamental de alguien que trabaja con seguridad es la curiosidad. El hecho de...¿Y qué pasa si...?

Sheyla Leacock: 11:35

Exactamente, exactamente. Y es así . La curiosidad siempre estápor delante, lo que te hace plantearte cómo se hacen las cosas, cómo puedes mejorar, qué otra vía puedes encontrar? Y obviamente, si estás del lado de, como quien dice, la ciberdefensa , todo este tema de proteger y demás, tienes que tener justamente esa curiosidad, esa mente abierta, probar diversos escenarios. Entonces, si es como que uno de los puntos fundamentales de todo profesional en la en la ciberseguridad. Y el aprendizaje continuo sobre todo, porque como digo, algo que cambia tan rápido, que evoluciona tan rápido, tanto en ciber, como en tech en general, pues todos estos temas de tecnología, entonces, hay que estar ahí aprendiendo continuamente y de manera autodidacta, porque muchas veces no te van a decir apréndete esto, que si yo toma una maestría, toma algo, sino que tú mismo debes sentir como que esa curiosidad de oye, quiero saber, quiero entender y voy a estar pues allí constantemente en eso ¿no?.

Marcia Villalba: 12:38

Porque para el memento que llegaste a la educación ya te pasaron tres veces...

Sheyla Leacock: 12:42

Y es así, cuando estás saliendo ya te das cuenta que tú vas emocionado y acabas de aprender tanto, acabas de salir de la universidad y resulta que el entorno laboral pues ya va a mil años luz.

Guillermo Ruiz: 12:58

Tengo curiosidad por saber ¿cómo cambia la parte de ciberseguridad desde la empresa tradicional a cómo lo haces en la nube? Porque al final, en on-prem sueles tener tu equipo de seguridad, tu equipo de networking, el de almacenamiento, pero llega un punto en el que llegas a la nube en el que es un equipo el que controla la virtualización , storage, etcétera. Y luego tienes toda esta parte de ciber.

Sheyla Leacock: 13:27

Bueno, al final lo que no cambia es el trabajo en equipo. Quizás cambia un poco las funciones o la forma en que haces las cosas. O sea, como bien dices , cuando está ya uno en premisas, pues tú tienes todo allí. Tienes tus servidores, velas por la seguridad física, por la seguridad lógica, velas por los accesos y de cierta manera sientes ese control. Tienes el control ya de toda tu infraestructura y demás. Pero asimismo también tiene otros retos. O sea, estar en en premisas tiene diversos retos. Por ejemplo, temas de cómo, predecir esa capacidad que vas a necesitar o en dónde ubicar tus servidores, cómo tener la redundancia en caso de que pase algo. Son muchos aspectos que para las empresas tanto a nivel de costos como de manejo y personal es bastante complicado, pero bueno, era la forma en que se manejaba en su momento. Cuando ha llegado la nube te ha brindado esas posibilidades y esas ventajas. Y una de ellas es justamente poder escalar de manera más rápido, poder decir oye, hoy voy a necesitar una capacidad mayor porque, estamos en semana santa (por decir algo) y ahora es donde más activan como quien dicen nuestras ventas y demás, y necesito aumentar esa capacidad. Pero luego de semana santa, ya necesito volver a reducirla. Entonces, tener esa flexibilidad es buenísimo, poder automatizar tareas también, o sea, poder desplegar la infraestructura de manera estática o automatizada, por ejemplo, utilizando infraestructura como código es buenísimo también porque ya no es tanto como que tienes a las personas haciendo tarea por tarea, haciendo las configuraciones y si se le olvidó ya quedó eso mal desplegado. Tiene que volver a echar para atrás, y no que ya tienes esas plantillas, tienes los pasos ahí documentados, repetidos. Y si bien otro equipo y quiere desplegar lo mismo, nada más cambia los valores en vez de de los que tú habías puesto. Pero digamos que tienen como que ese ese patrón ¿no?. Esas son como que algunas, pero la verdad, siento que con la nube hay muchas ventajas. Obviamente también ese control que tenías lo delegas. Si lo delegas hacia hacia ese proveedor de nube, no todo obviamente, creo que cuando hablas de nube, por lo general, las personas piensan que todo ya queda del lado del proveedor. Y que los temas de seguridad también queda del lado del proveedor. Yo me subo a la nube y ya estoy segura automáticamente. Y no es así . Es como que esa parte y parte no de, bueno, yo acá tengo que ocuparme de algunos temas, no de todos los temas como lo hacía en premisas, pero sí, hay cosas que delego y bueno, ya temas de administración de servidores y demás quizás no tenga que verlo mucho. Pero depende mucho también del modelo de servicio que estés adquiriendo con el proveedor de nubes. Pues hay temas que vas a tener que que seguir haciéndote cargo o responsable? Entonces, no es que te quitas de esa responsabilidad, delegas parte, y eso también es, es buenísima en temas de ahorro de costos y demás.

Guillermo Ruiz: 16:49

Es un, es un punto interesante. La parte del modelo de responsabilidad compartida. Yo como proveedor cloud, la infraestructura y ciertos niveles te cubro y a partir del sistema operativo, aplicaciones, te puedes encargar tú dependiendo del control que tengas sobre el servicio. Y ver ese link entre el proveedor y el cliente en caso de incidencia, cómo todo trabaja como una única cadena sin realmente tener demoras que puedan suponer impacto tanto económico como de otra manera dentro de la compañía.

Sheyla Leacock: 17:22

Así es, tal cual.

Marcia Villalba: 17:24

Y el proveedor a veces también puede hacer cosas muy locas. Por ejemplo, en AWS, una de las cosas que se hacen para garantizar la seguridad física de los datos, por ejemplo, es una encriptación cuántica de nuestros datos. Todavía no hay forma práctica de hacer una desencriptación cuántica, pero hay papers que prueban que en algún momento va a ser posible. Y porque el modelo de seguridad compartida, nosotros garantizamos los datos van a estar seguros. Y bueno, todos nuestros centros de datos, todos los datos almacenados son transferidos de esta forma. Y eso te vuela la cabeza porque una persona común en un centro de datos on-premises propio, no va a poner ese nivel de esfuerzo en encriptar los datos. Y ahí es donde ves la diferencia y el poder de poder estar en la nube, que podés tener acceso a estos avances tecnológicos. De locos! porque tienen expertos y tienen gente que se dedica a eso y vos, mientras tanto te encargas de tus aplicaciones o de la capa donde donde estés. No, no es lo mismo serverless que capaz ibas a trabajar en las máquinas, en las instancias, en la responsabilidad que tenés en en la seguridad de tus aplicaciones,

Sheyla Leacock: 18:42

Tal cual, y hubo en punto el que mencionan justamente que ese proveedor me asegura los expertos, me asegura, por ejemplo, toda esa parte de cifrado y muchas cosas. Entonces al final ya no tengo ese dolor de cabeza, de cómo consigo al experto, cómo hago esto, cómo aseguro todo. Ya entonces voy delegando, que eso es también buenísimo. Y así las empresas se enfocan también en en su nicho, en su negocio. Expandirlo y darle un poquito más de fuerza. Y ya delegan ciertos aspectos al proveedor de nubes.

Guillermo Ruiz: 19:18

Efectivamente, como certificaciones, si quieres la HIPAA, u otras que son de seguridad a nivel mundial y que normalmente te llevan meses de tener gente dedicada. Pues ya en la nube tiene garantizada. Y como decías, te centras en tu servicio y no en obtener una certificación. Hay un tema que que habla mucho la gente y yo sé que Marcia yo para las siglas somos muy malos que se trata de CSPM, y¿qué es la postura de seguridad y un CSPM?

Marcia Villalba: 19:52

Capaz puede decir primero qué significa esa sigla porque C y S juntas a mí me matan..

Sheyla Leacock: 20:05

El tema de la postura de seguridad es básicamente poder conocer cómo estás actualmente, cómo está tu organización en temas de seguridad. Entonces te permite tener esa visibilidad, por decirlo así. O ¿qué es lo que buscan?¿Cuál es mi postura de seguridad? Tú empiezas a mirar por ejemplo,¿qué controles tengo implementados?¿qué temas de monitoreo tengo activos? Poder pararte y decir, bueno, ¿cómo estoy ahorita?¿Qué me falta por mejorar o implementar?¿Y cuál es ese modelo objetivo al que yo quiero llegar? Entonces es, resumiendo el tema de la postura de seguridad. Es conocer cómo estás ahorita y qué aspectos debes tener en cuenta justamente para mejorarlo. Y el tema de ese CSPM, pues viene muy relacionado, es el Close Security Posture Management, sus siglas en inglés. Pero es básicamente conocer esa postura de seguridad, pero ya en la nube y ver ¿Cómo hago esa administración?, por ejemplo, ¿Cómo puedo visualizar mi postura?, ¿Cómo puedo ver mi infraestructura, mis servicios, ya sea Lambda, ya sea instancias?¿Cómo puedo tener esa visibilidad de oye, mira mi nivel de seguridad, qué se yo un 80% y todavía tengo aspectos ahíque hay que mejorar para llegar al 100%? O mira, tengo visibilidad nada más de mis instancias, pero en temas de Lambdas o temas serverless no tengo visibilidad de de lo que estoy desplegando, de lo que estoy haciendo.¿A qué área pertenecen? Justamente ese tema del CSPM , te ayudan a administrar todos estos aspectos de seguridad, y poder tener esa visual completa de todo el panorama de cómo estás en la nube. Y si trabajabas, por ejemplo, con nubes híbridas, también hay CSPM independientes, que básicamente se paran en un lado, independiente de cualquier proveedor, y si tú utilizas, dos, tres nubes y ya te recolecta la información de esta la otra y la otra, y ya tienes esa visual, de todo completo, todas mis nubes. Estoy en este porcentaje, aquí me falta mejorar. Es tener esa esa visibilidad.

Guillermo Ruiz: 22:31

Te voy a preguntar¿cuánto uso hacéis de los servicios como recomendadores que suelen incluir los proveedores cloud? Además hablas de un modelo híbrido en el que cada cloud tendrá su propio recomendador y cómo estandarizas eso a través de todas las nubes?

Sheyla Leacock: 22:46

Exacto. Eso es un tema también. Y que justo el CSPM busca tratar de solucionar, porque si tienes un CSPM, por decirlo así, independiente, lo que hace, es buscar esos checks o esas validaciones que necesita para comprobar esos aspectos. Y por ejemplo, si yo quiero saber cómo es mi cumplimiento, antes mencionabas los temas de HIPAA, o podemos decir PCI-DSS, por ejemplo , ya sabe, más o menos qué controles necesita tener la nube para cumplir con esos estándares. Sí, entonces saca esa información de las diversas nubes que se la pueden brindar y ya él va armando ese panorama o esa estructura de manera independiente. Y te dice cómo estás en en temas de cumplimiento y demás. Y lo mismo se traslada si es en una nube propia. También vas a tener un servicio propio en el que vas a poder ver en esa infraestructura de nube, cómo estás cumpliendo con esos estándares?¿Cómo estás con diversos hallazgos de seguridad?¿Cómo estás con diversas amenazas que se puedan materializar? Oye, mis bukcets están configurados como públicos. Ah, no miras tú, tengo que cerrarlo y ponerlos como privado, cosas así. Te vas dando cuenta de manera centralizada.

Marcia Villalba: 24:05

Sí, yo me imagino que la pregunta de Guille la podemos llevar un paso más dentro de AWS y hablar del Well Architected framework y el pilar de seguridad.¿Cómo se relaciona con esta postura cloud de seguridad? Si implementas uno ya ¿cómo te viene el otro o son muy diferentes?

Sheyla Leacock: 24:25

Bueno, a la final, el pilar del Well Architected framework es justamente lo que te dices. Oye, tú tienes que tratar de asegurar tus cargas de trabajo en la nube. Si tienes que tener esa visibilidad de tus activos, tienes que hacer un monitoreo de manera constante para ver qué aspectos de seguridad se están dándo, se están generando. Debes tener, por ejemplo, forma de alertar en el caso de que ocurra alguna mala configuración, alguna nueva amenaza. Tienes que tener esa capacidad de detectar para poder darte cuenta de qué está pasando, que nada vale tener y activar servicios y demás si nadie estáahí, monitoreando o tomando una acción. Entonces no tiene mucho sentido, y justamente te invita a aprovechar las automatizaciones. Sí que tienes a nivel de nube, que también es mucho más fácil, remediar o remediar de manera automática también, no tanto manual como se hacía antes sino de manera automática a diversas cargas de trabajo. Te da esa visual de esos aspectos que debes tener y al final, la seguridad no es como cuando me activo un servicio de seguridad y listo. Como les decía , hablamos hace... Marcia Villalba: Y después alguien Es un tema... la seguridad es complementaria, por decirlo así, no podemos quedarnos con una sola herramienta y decir que con esto ya tenemos todo. Hay un concepto que se usa mucho en seguridad que es la seguridad en capas o la defensa en profundidad, que es básicamente eso, por cada capa podemos poner así capa lógica de mi aplicación, por ejemplo, a nivel de las red, a nivel de la infraestructura, a nivel del servidor, a nivel de la propia aplicación. Digamos que todo eso se divide en capas y cada capa debería tener varios controles de seguridad. Sí, para que vayas, como quien dice poniendo esas barreras. Y si viene un ciber atacante y quiere ingresar al sistema, o robar qué séyo, tus llaves, etcétera, tiene que pasar por una serie de controles y va a ser mucho más difícil que si yo solamente tengo un control. O sea, si yo tengo solo un control, este ciber delincuente viene y le tira hasta que lo rompe y ya tiene acceso a todo. Entonces la seguridad mucho como quien dice complementaria, quizá vas a tener diversos servicios, aplicaciones que pueden hacer o controles, pues que pueden hacer temas similares, pero justamente te ayuda a mejorar, la seguridad, tener como que esas capas ahí, de mayor profundidad y que no sea tan fácil pues para un atacante llegar hasta allá.

Guillermo Ruiz: 27:04

Pero fíjate que a veces hay el tema, por ejemplo, cuando haces una migración on-prem a la nube, que preguntas a los equipos locales ... oye, ¿quépuertos tiene abierto esta aplicación? Y muchas veces te encuentras con la respuesta de... no tengo ni idea. El servidor está debajo de mi mesa, dímelo tú. Y tienes que aplicar el abro todos los puertos, los mantenemos abiertos x días, vamos cerrando a ver si se cae algo ,si no se cae, y haciendo una iteración sobre el servicio hasta que dejas esos puertos justo.¿Te ha pasado alguna vez?.

Sheyla Leacock: 27:37

Digamos que no tan así, pero es algo común ver que, por ejemplo, yo he trabajado mucho a nivel de, y bueno, lo que hago un poco en el día a día es trabajar mucho con equipos de desarrollo, viendo buenas prácticas de seguridad, asesorando a los proyectos en temas de cómo mejorar justamente los aspectos de seguridad y se ve mucho eso, no de que, oye, estoy lanzando tal servicio y cuando vas a ver todos los puertos abiertos, cualquier protocolo, cualquier... No necesitas todo esto, entonces le buscamos. Pero si es algo que pasa bastante y es un poquito también de incentivar los temas de seguridad desde el inicio, como hablamos desde un concepto que se le llama muy shift left o llevar la seguridad a la izquierda. Que es de inicio, desarrollo y demás, ya tú estés viendo qué vas a necesitar, estés con los arquitectos, con los de nube y demás viendo qué es lo que se necesita realmente, cómo van a ser las comunicaciones ,justamente para ir asegurando antes de empezar a a desplegar o a montarte la infraestructura como quien dicen antes desde el inicio, desde que estoy empezando ese proyecto. Si, pensando, pues, qué va a ser, cómo se va a relacionar y demás, ir aplicando los temas de seguridad, justamente para para evitar eso pero bueno, es verdad en temas de premisas, quizás o bueno, ciertos equipos, pues todavía se ve eso de... Vamos a dejar todo abierto porque todavía no sé realmente qué es lo que necesito y si lo cierro no me funciona, entonces, en vez de irme uno a uno para ver cuál me funciona, yo le dejo todo abierto.

Marcia Villalba: 29:10

Pero eso es algo muy interesante de la seguridad en el desarrollo de software, no? Si no lo implementas desde el día cero, es como ponerle una capa de dulce leche a la torta arriba. O sea, el resto puede estar seco y totalmente inaccesible. O sea, estará muy, muy seguro la primera capa, pero tiene que ir desde el diseño de cómo creas esa arquitectura, como vos decía, cómo creas ese software, cómo creas esas interconexiones... o sea, yo creo que muchas veces eso se logra con educación. Muchas veces los developers, los desarrolladores, no es que sean vagos, es que simplemente no saben cómo hacerlo de forma segura, porque muchas veces lo primero que haces es, encontrar un tutorial en internet Hola mundo y esos hola mundo no traen la seguridad embebida dentro del tutorial. Y la seguridad es como capítulo 17. Nunca llegaste al capítulo 17. Seamos honestos, la seguridad tiene que aparecer en el capítulo uno del libro para que el developer lo lea, que es el único capítulo que va a leer, que es lo que necesita. Cuando a mí me preguntan quénecesito para aprender serverless? Y yo siempre le digo IAM. Pero IAM ...serverless?, le digo sí, en el momento que vos entendés cómo funciona IAM, vas a poder entender serverless y vos no entendés cómo funciona los permisos, olvídalo. O sea, están haciendo un mamarracho..

Sheyla Leacock: 30:31

Porque ajá, como dicen, lo dejan para al final. Primero voy a construir todo y hacer mi lambdita, voy a hacer esto y bueno, ya veo después los temas de permisos de políticas y demás. Así asiduamente.

Marcia Villalba: 30:41

Y después te da un trabajo de la gran siete, porque tenés un montón de permisos que están super abiertos, ahora hay que empezar a cerrarlos y encontrarlos.

Sheyla Leacock: 30:51

Exactamente.

Marcia Villalba: 30:52

Más fácil.

Guillermo Ruiz: 30:53

Bueno, también te encuentras con, tienes tu castillo, tu fortaleza y llega el desarrollador de turno y tira de unos repositorios públicos para actualizar su aplicación y rompe toda la cadena de seguridad aplicada durante meses.

Sheyla Leacock: 31:07

Total. Totalmente.

Marcia Villalba: 31:10

Sí, la vulnerabilidades.

Guillermo Ruiz: 31:14

Cómo.. es un punto interesante..¿Cómo trata la ciberseguridad en la empresa en un día a día, por ejemplo, en banca, equipos que tengáis, cómo se interactúa? Sheyla Leacock: Okey. Digamos que hay bueno, por lo general, y depende mucho de las empresas, no? Por ejemplo, mi experiencia y en lo que he trabajado, por lo general, hay como que diversos equipos. Está el equipo, por decirlo así, defensor, que muchas organizaciones, y por lo general, se conoce como el Blue team. Es ese equipo que se encarga pues, de defender, de poner los controles aquí y allá ,y de hacer el monitoreo. O sea, de velar porque todo esté bien y de enterarse de cualquier amenaza, cualquier vulnerabilidad que puedan estar explotando de manera temprana. Y está el equipo como quien dice el de Red team, que suele ser ese equipo que ya hablábamos de pentester y/o hackers éticos, pues que están por ahítratando de romper, pero obviamente para reportarle al equipo de Blue team. Y decirles, oye, mira esto es todo lo que encontramos; esto es todo lo que tienes que resolver, etcétera, etc. Y suelen haber también los equipos que se conoce como equipos púrpuras o Purple team que ya es como trabajar de la mano. O sea, es como que agarra al equipo de Blue team y al equipo de Red team y no los tengo por allá independiente. Uno por allá rompiendo y el otro por acá corriendo a proteger, sino que ya empiezan a trabajar juntos. Les dice bueno, mira, estoy encontrando este puerto abierto.. Ah sí! vamos a configurar.. estoy encontrando esto, ah sí! vamos a resolver. Entonces es como un trabajo más en sinergia, o por decirlo así, interactivo de ambas partes. Y por lo general también aplica mucho la seguridad. Llevar la seguridad justamente al inicio de desarrollo, es también un poquito parte de mi rol. Estar desde etapas tempranas, asegurando todos los temas de diseño de controles, de la implementación de los mismos. Ahí está también la vertiente de temas de gestión de vulnerabilidades, que bueno, ya cuando surge la vulnerabilidad, pues hay que empezar a ver con los equipos cómo se va a resolver y en cuánto tiempo y cómo nos afectan. Pero si, es como un trabajo muy interactivo y muy dinámico entre todos los equipos. No solo ciberseguridad, pues fue los que menciona ahorita, sino también desarrolladores, arquitectos, los ingenieros de nube, los de devops, no vamos a olvidar de los devops también, super esenciales en todo el aspecto de asegurar ese despliegue y de poder poner como que esos checks, esas cajitas ahí.. yo voy a desplegar en un ambiente, voy a hacer esto y pongámosle temas de seguridad, validemos que está cumpliendo con todo esto, porque lo que se busca justamente es no llegar a desplegar o a producción con vulnerabilidades, porque a la final eso es como decía, en (inaudible) deuda técnica, cosas que estás dejando por ahí y que a la final también, cuando vas a remediar, te va a costar mucho más porque ya lo pusiste en producción, que si ya la persona que lo estaba desarrollando el proyecto, pues ya no está en la empresa, por ejemplo, y no dejó documentado, bueno un montón de cosas, entonces es mejor estar con la seguridad desde el inicio y prevenir llegar a producción con vulnerabilidades, para que ya también, y se ha visto en temas de costos, remediar algo cuando ya lo tienes desplegado es mucho, por decirlo así, mucho más caro, pues para las organizaciones que aplicar la seguridad desde el inicio, que ya todo se vaya desarrollando poco a poco, seguro y cuando llegues allá, pues no tengas preocupaciones, nada más te encargues pues, de monitorear y bueno, como los temas de seguridad cambian tanto y hoy estamos aquí y existen unas vulnerabilidades y de pronto sale una nueva vulnerabilidad, pues ya toca hacer, la gestión, pero de algo nuevo. Tratar de que cuando vayas a salir, por ejemplo, con lo que conocía ya esté todo completamente asegurado. Una pregunta porque el Red y el Blue team, yo siempre lo he visto como Tom y Jerry, el ratón y el gato ... este equipo de Purple, el púrpura o el morado que entra en juego ¿es gente técnica? o es más gente de procesos.. de encajar las piezas.

Sheyla Leacock: 35:17

Podemos decir que ambos, ¿por qué? Digamos que la parte técnica la tendría tanto con el blue como con el red. Entonces este purple team es más como ese tipo de metodología o proceso. Pues podríamos decir proceso como bien, comentas de oye, trabajemos todos juntos, trabajemos en sinergia, apoyémonos, si estás detectando algo... yo por aquí mismo, estoy viendo y estoy aplicando un control, es como que no es un trabajo aislado porque por lo general siempre ha sido así, el Red team estápor un lado, tratando de ver qué rompe y en el otro extremo está el equipo y, ah, mira, me llegó esto y después lo reviso y después lo pongo el control y demás, sino es que ya es como un trabajo en sinergia, básicamente lo que busca el Purple team.

Guillermo Ruiz: 35:59

O sea que sería una especie de scrum master en ciberseguridad.

Sheyla Leacock: 36:02

Por decirlo así..

Marcia Villalba: 36:06

Una pregunta porque vos mencionaste hablar con los equipos de desarrolladores y con los equipos de devops , pero como interactúan estos equipos de seguridad, los red, blue, purple... con los equipos de desarrollo, con los equipos de devops, porque a veces la gente de seguridad parece que fuera esa maestra mala que te estádiciendo, no hagas esto, no te apruebo. Pero cuáles son buenas prácticas para generar esta buenas sinergia entre los dos equipos que no parezca uno que no le deja hacer cosas, y los otros, que son los adolescentes que quieren romperlo todo.

Sheyla Leacock: 36:42

Tal cual, creo que a muchos, justamente formar equipos de trabajo justamente diversos, no con todos estos roles. Por ejemplo, en mi caso lo veo mucho en la parte de proyectos, no, yo trabajo en temas de proyectos y, por lo general, pues ya proyectos se conforma con este equipo técnico donde está el desarrollador, está el arquitecto, está el devops y demás, y no es tanto ya como que están separados o se hace la arquitectura, se ven algunos temas de seguridad y ya el equipo empieza a desarrollar por su parte, sino que estamos como que todos los días ahí interactuando, avisando, diseñando temas, alzando la mano de que, oye, mira, y esto hay que asegurarlo más, hay que poner un control aquí o mira esto, puede tener una vulnerabilidad acá. Entonces más como un trabajo y hubo la conformación de ese equipo, con los diversos roles o los diversos actores, incluyendo siempre la parte de seguridad justamente y que desde el inicio, pues ya todo empiece a fluir, no y que todos trabajen de manera conjunta y que si más adelante también el desarrollador se encuentre que, oye, estoy haciendo esto y y no sé cómo validar los temas de seguridad o pasa tal cosa. Ah, ya sé que tengo aquí alguien en el equipo que me pueda apoyar con quien podemos ver esos temas. Entonces si es como trabajar de manera, colaborativa, no es como que están las personas haciendo sus temas independientes y yo por acá voy poniendo controles y por allá haciendo cosas.. sino que están trabajando juntos.

Marcia Villalba: 38:06

Dentro de un mismo proyecto, tendrían todos estos diferentes roles y después ¿habría como alguna forma de compartir las buenas prácticas o las lecciones aprendidas entre los diferentes proyectos?

Sheyla Leacock: 38:16

Porque sí, eso justamente también es lo que se busca y tener como que esa.. un repositorio compartido, por decirlo así, de esas buenas prácticas o de esas herramientas que estás aplicando y que si otro equipo, otro proyecto,está pasando por lo mismo, pues no tenga que ver a ver que encuentre qué es lo que debe aplicar, sino para decir ah, mira que yo recuerdo que unos compañeros lo aplicaron hace poco. Entonces, ah! déjame ir a ver cómo lo hicieron. Ah, mira, lo hicieron de esta forma, entonces vengo y lo aplico. Y así pues, como que todos también conozcan y no se quede el tema, como quien dice apartado, no nada más de un proyecto, de un solo equipo, sino que entre todos conozcan justamente todas esas buenas prácticas, incluyendo, pues las de seguridad.

Marcia Villalba: 38:57

Claro, eso sería responsabilidad de alguien del equipo de seguridad como corporativo, no de gestionar ese repositorio.

Sheyla Leacock: 39:04

Puedo decirlo así exacto, de tener como que o brindar, ya sea esas plantillas, y por ejemplo, si vas a ser infraestructura como código, puedes brindar también esas plantillas que tengan ya las ciertas configuraciones de seguridad mínimas que debes aplicar o que tengas la documentación. Ah bueno! voy a desplegar una lambda...Bueno, ¿qué debo tener en cuenta para una lambda? Mira esto, esto, y esto... Entonces tengas como los checkcitos y ya las personas también lo puedan ir consultando y desde el inicio del desarrollo pues aplicándolos justamente.

Guillermo Ruiz: 39:32

Qué pasaría si quisiera yo como desarrollador, desplegamos una aplicación nueva, necesito tirar de cierto repositorio que nadie hasta ahora había usado en la compañía... te toca abrir entiendo un Jira o un ticket para pedir permiso de oye, alguien tendráque validar este acceso y esta seguridad.¿Todo eso es un proceso manual?.

Sheyla Leacock: 39:52

Sí y no, depende. Así es. Hay temas que si se tienen automatizados, hay temas que de pronto pueden ser manuales y si son cosas nuevas, pues obviamente también toca mucho empezar a revisar los escenarios si se pueden tomar ciertas consideraciones o recomendaciones pues de escenarios anteriores, que sean similares y con, por decirlo así, despliegue de la aplicación quizás similar, pero cuando es nuevo, también toca mucho hacer esa evaluación, hacer esa revisión, ver los temas de seguridad con lo que está cumpliendo, qué es lo que hay que reforzar y mejorar y empezar también, pues, a generar quizás un proceso, que no esté automatizado ahorita, pues empezar justamente a automatizarlo, y que ya quede para los diversos proyectos que puedan surgir posteriormente. Entonces, digamos que si estátanto la parte manual, dependiendo y también la parte automatizado.

Guillermo Ruiz: 40:43

Aplicáis..

Sheyla Leacock: 40:44

Ajá...

Guillermo Ruiz: 40:45

Iba a preguntar, aplicáis SLAs para desde el tiempo que yo he hecho algo, una petición nueva hasta que alguien me da una respuesta dentro de la compañía decir oye, pues en tres semanas te diremos si sí o si no, y sino habrá que empezar a escalar por arriba.

Sheyla Leacock: 41:00

No, esto debería y debe, por lo general, tener un SLA porque sino ahí nos quedamos esperando, como quien dice hasta quién sabe cuándo. Entonces, por lo menos si se tiene un SLA como quien dice de recibir quizás el requerimiento no? Y un SLA de...bueno, una vez recibido, en cuánto tiempo tardo yo en darte una respuesta ,en darte una recomendación, o en aplicar pues lo que me está solicitando. Pero es la forma óptima y y es incluso, un poquito con lo que nos manejamos. Tenemos un SLA y hay que solicitar las cosas con tiempo... Mira, el SLA de este equipo es de tanto tiempo, de cinco días, 10 días, etcétera. Y justamente, pues así planificando las cosas, no porque suele pasar de pronto llega algún requerimiento, alguna... necesitamos desplegar hoy y necesitamos hacer algo, y yo, oye, pero tenemos flujos, tenemos esto, entonces, y el SLA de más de uno de esos flujos es de cinco días. Entonces, para hoy no va estar. Pero por un lado, lo que se busca en la seguridad porque siempre se ha visto que el de seguridad es como que el stopper o el que te retiene, el que no te deja salir, sabes, es como que ese que está ahí, como quien dice el guardia de seguridad oye no vas a pasar. Entonces, lo que buscamos es más que ser ese stopper, ser un habilitador o sea, tratar de apoyar al equipo. Si necesita alguna gestión, si necesitamos priorizar algo con temas que se pueden ver, justamente para tratar de no ser ese impedimento y que los equipos digan.. no es que el de seguridad no me dejósalir, no sé qué, entonces, pero eso mucho también de coger esos procesos manuales y automatizarlos, tener las cosas documentadas, tener SLAs, brindarle al equipo de herramientas,plantillas y demás que puedan utilizar, como para agilizar algunos temas. Pero sí, para quitar, como quien dice esa mala reputación que tiene el equipo de seguridad de ser el stopper, no?

Marcia Villalba: 42:46

Sí.

Guillermo Ruiz: 42:47

Los perros guardianes.

Marcia Villalba: 42:49

Y ahora, hablando de toda esta automatización capaz, podemos bajarlo un poquito más a tierra y hablar de las automatizaciones o las herramientas o los servicios que les provee AWS a ustedes para poder trabajar y resolver estas cosas que vos mencionabas, no? Automatización de detección de vulnerabilidades, no sé, de remediación, capaz, nos podé empezar a contar alguno de esos servicios y alguna historia relacionada a como los usaron porque debe haber miles. La seguridad es lo primero para AWS, así que...

Sheyla Leacock: 43:23

Tal cual, por lo menos en temas de infraestructura como código y es mucho lo que se usa para desplegar en la nube, porque lo que menos se quiere es tener que hacer las cosas manuales en la consola, no de ir haz click, porque a la final, oye, se te fue una configuración y ay!, ¿qué había hecho mi compañero? A lo mejor no puso esto, no le dio click donde era, entonces mejor tener ya..

Marcia Villalba: 43:43

Y la consola cambia todas las semanas. Hoy tenés una consola, le sacaste screenshot, te hiciste toda tu documentación hermosa, y la semana que viene alguien hizo una consola nueva y vos, dónde está los checkbox..

Sheyla Leacock: 43:57

Sí, sí , suele pasar y bueno, por lo general es mejor llevar estos temas justamente desde la infraestructura como código. Está, por ejemplo, el tema de CloudFormation que ya te permite, pues, hacer justamente esos despliegues de infraestructura como código a nivel de . Puedes trabajar con los StackSets si ya estás en un entorno como quien dice de administrar varias cuentas en una organización, para que no sea como, oye tengo que entrar acá, en una de mis cuentas, hacer esto y subir la plantilla, sino que yo puedo lanzarlo automatizado a todas esas cuentas. Y por ejemplo, en temas de seguridad, nos funciona mucho. Oye, quiero aplicar un control, lo quiero desplegar... una infraestructura de un control, que se yo, un 100 o cualquier otro para que me empiece a detectar o quiere activar todos los servicios de seguridad en todas las cuentas. Pues ya lo hago de manera automatizada. Se despliega, pues por un StackSet y ya queda listo, como quien dice configurado en todos y no tengo que irme uno a uno. Entonces una de las ventajas. Los temas de lambdas también, porque por lo general siempre buscamos automatizar. Entonces, a veces temas de algún procedimiento o generar una reportería o generar una alerta cuando identificamos alguna amenaza y demás, eh, lo podemos hacer con lambda, por ejemplo, con un pedazo de código en python bastante sencillo, podemos automatizar algunos procesos..

Marcia Villalba: 45:12

Por ejemplo... nos puedes dar algún ejemplo de alguna automatización?

Sheyla Leacock: 45:17

Sí, bueno, me ha tocado mucho temas de generar reportes y reportes personalizados. Oye, necesito la data de aquí, acá... la necesito de diversas fuentes y necesito tenerlo todo consolidado y después mandarlo a un dashboard porque eso lo vamos a presentar en en tal lugar. Entonces, toca, como quien dice, empezar a automatizar, a hacer consultas, como quien usa la API, porque todo en la nube es una llamada a la API y poder obtener esa información específica que se va requiriendo para generar esa reportería personalizada. Me ha tocado también temas de configurar alertas. Ah, qué si yo estoy desplegando algo y está fallando en temas de configuración con algunas de las buenas prácticas de seguridad que tenemos. Entonces, hagamos una automatización, se va eso SNS y le llega la notificación por correo electrónico, a quien lo estuvo desplegando... Oye, mira esto no está cumpliendo con los temas de configuración. Necesitas resolverlo y que sea como que muy puntual y que le pueda brindar oye, mira esta es la documentación, esto es lo que necesitas ver, y que, oye, el desarrollador estádesplegando ahorita y de una vez se pueda dar cuenta apenas desplegó. Y con qué estén cumpliendo el tema de seguridad y remediarla allí mismo. No sea, no le vamos a alertar una semana después, o un mes después que tenemos todos los reportes, indicadores, pues ya, o sea, ya está todo listo ya a lo molesta todo productivo, como quien dice y se fue así no? Entonces, automatizar la verdad, es un un factor fundamental en seguridad. Y aunque al inicio hablamos de no es necesario programar, pero si puedes aprender a programar para aliviarte, como quien dice, un poquito la vida, hacer cosas de manera más óptimas, hacer tareas más óptimas y generar un valor también para todo el equipo, la verdad que es saber por lo menos algunas líneas de qué se yo, python o algo algún lenguaje de scripting, pues también va a ser muy ganador, no? O sea, y es algo que que se valora bastante. No es requerido, pero se valora.

Marcia Villalba: 47:08

Y qué servicios así de AWS, desde el punto de vista de seguridad, sería como buenos, para empezar a explorar o empezar a implementar en las organizaciones.

Sheyla Leacock: 47:20

Bueno, me gustan dos en específico. Muchos son muy buenos, pero creo que dos fundamentales son SecurityHub y Config.

Marcia Villalba: 47:27

Si querés podemos empezar hablando de SecurityHub, ¿qué es?

Sheyla Leacock: 47:33

SecurityHub es como ese centralizador de hallazgo que hablamos hace un rato del Cloud Security Posture Management. Digamos que SecurityHub puede venir a ser esa herramienta, por ejemplo, en AWS que te brinda esa visibilidad de cómo están estos lambdas, todas tus configuraciones, todo lo que tienes en la nube. Te lo pone como que todo en un solo repositorio centralizado. Y si estás trabajando en múltiples cuentas y tienes los temas organizacionales activos, por ejemplo, también puedes tener un SecurityHub centralizado que vas a recopilar automáticamente la información de todas las cuentas y te la va a mostrar ,o si no, pues los puedes igual, configurar y decirle, bueno, conectate a esta cuenta, a esta otra y tráeme la información. Entonces ahí vas a tener como que esos hallazgos consolidados de temas de seguridad, puedes recibir diversas fuentes, una de esas fuentes es Config, por ejemplo, que Config ve todos los temas de buenas prácticas a nivel de configuración, que todo lo que esté desplegando pues, esté siguiendo ciertas recomendaciones. Entonces eso también lo toma SecurityHub como una base para generar esos hallazgos ...y otros servicios de AWS es con temas de seguridad GuardDuty, por ejemplo, que ve temas de amenazas, Macie que ve y descubre información, pues sensitiva en los buckets. Entonces, digamos que todas esas servicios que tienes en AWS en temas de seguridad...

Marcia Villalba: 48:52

Inspector fue interesante. Por ejemplo, cuando AWS Inspector es un ser.. O Amazon, nunca me acuerdo cómo se llaman, pero este inspector, por ejemplo, cuando hubo la vulnerabilidad de la librería esta Lock4j, de Java, hace un tiempo, fue super útil para la gente que lo tenía habilitado porque básicamente, en el momento que se descubrió esa vulnerabilidad le llegó a todo el mundo que tenía deshabilitado. Es un servicio que te permite descubrir una debilidad en tu código, una mensajería de ..eh! Está esto en este código en este código, en este código, en este código, en este. Entonces, como muy rápido ir y arreglarlo, y no tenés que estar buscando a ver dónde tenés esa librería, dónde la estás usando. Esto literalmente te avisa y si se descubre una vulnerabilidad, ya sea en código que tenías desplegado, y es una vulnerabilidad ver la librería de Lock4j, es una cosa que anda por ahí hace 1000 años. O sea, a nadie se le ocurría que podía tener una vulnerabilidad y la tuvo. No es una librería que alguien descargó de internet ahí es una librería súper usada. Entonces, ese tipo de herramientas también ayudan, aunque vos tengas un control muy estricto en tu organización de cuáles librerías puedes usar y cuáles no siempre se pueden encontrar vulnerabilidades en todas. O sea, entonces tener una herramienta que estaba constantemente monitoreando es muy importante.

Sheyla Leacock: 50:16

Tal cual.

Guillermo Ruiz: 50:18

Y el tema librerías es interesante porque hoy validas una librería que consideras segura, pero de repente dentro de cinco años, encuentran vulnerabilidades y te toca volver a rehacer todo el camino.

Marcia Villalba: 50:31

Por eso Inspector está bueno. Por eso...

Sheyla Leacock: 50:34

Posiblemente un par de meses, porque es así. Están los ciber atacantes ahíbuscando y no solo ellos, sino también muchos investigadores de seguridad. Justamente tienen ese propósito de oye, estas cosas que la tenemos ya hace mucho tiempo. Estos que lo tenemos desplegado realmente seguro o no, y siempre están encontrando vulnerabilidades. Entonces, si es algo que va a pasar constantemente y hoy puedes decir, bueno, hoy no hay vulnerabilidad, esto está bien. Y mañana aparece una y tienes que correr a remediar o cambiar de librería o ver cual otra librería pues tiene esa función que necesitas. Y bueno, la verdad que es algo del día a día como quien dice.

Marcia Villalba: 51:12

Pero a veces también los desarrolladores o las empresas no los desarrolladores, pero las empresas dicen bueno, hagamos todas las librerías nosotros. Señores. Eso no significa que no tenga vulnerabilidades porque hacerlos ustedes no nos libera de la vulnerabilidad. Lo importante es elegir librerías que sean, si son de opensource, que sean mantenidas, que no sean librerías viejas, que tengan un buen backup de personas que están trabajando en ellas, actualizarlas y tenerlas relativamente aisladas en tu código. O sea, si podés no las uses directamente, cosa que si mañana tenés que reemplazar es simplemente... muy fácil cambiarla, pero no la hagas tú!

Sheyla Leacock: 51:52

Exactamente. Y eso es un esfuerzo total. Ese es un esfuerzo también. Y a veces puede que se te pasen aspecto de seguridad como bien decías, no, porque la hagas tú quiere decir que no va a ser vulnerable. Entonces, posiblemente ya tienes una librería que se ha probado bastante, que se ha utilizado, que ya tiene esa confianza. Y tú dices oye, para que voy a inventar, a reinventar la rueda. Vamos a utilizar esta. Sí, pero o sea, la final, son temas de que se le pueden encontrar vulnerabilidades.

Marcia Villalba: 52:15

A todos.

Sheyla Leacock: 52:16

Exacto. Y tienen un equipo de expertos y demás. También a nosotros nos puede pasar. Así que..

Marcia Villalba: 52:21

Exacto. Así que...

Sheyla Leacock: 52:23

Tomar ventaja de lo que se puede y si estar ahí, monitoreo constante y bueno, sea algo que remediar, tomar acción.

Marcia Villalba: 52:31

Muy bien, pero también lo otro, no, no usar una librería que un desarrollador encontró en internet ahí random con tres commits de hace tres años de alguien que no sabe quién es.

Sheyla Leacock: 52:41

Exactamente.

Marcia Villalba: 52:42

Buscamos el punto medio..

Sheyla Leacock: 52:45

Totalmente. Sí, sí, pero así es.

Marcia Villalba: 52:50

Así que primero SecurityHub para la gente, GuardDuty, Config, Inspector, Macie, son como los servicios desde la ciberseguridad que la audiencia tiene que ponerse a investigar.

Sheyla Leacock: 53:06

Eso tiene un porfolio. Uff, grandísimo de tema de seguridad. La verdad, es buenísimo y como bien comentas Marcia que lo tienen, pues por por delante, como quien dice como prioritario. Pero si hay muchísimo de qué explorar, de pronto por ahí se pueden en unas sentadas vamos a ver qué tanto tiene AWS, qué podemos hacer..

Marcia Villalba: 53:24

En una sentada no.

Sheyla Leacock: 53:25

Bueno, en una sentada empiezan y en varias terminan.

Marcia Villalba: 53:31

Igual yo les diría que si son desarrolladores, arranquen. Por literalmente IAM, es el servicio de access management, identity and access management, es súper importante. Y limitar como les llaman el Blast Radius, no el lo que los cuando uno da una política de IAM , todos los servicios en AWS son creados sin permiso. O sea, como yo digo, cuando nacen los servicios de AWS nacen sin permisos. Y eso es algo que le tenemos que dar nosotros cuando le aplicamos una política de IAM, y si le damos una política de estas que tienen estrellita, una asterisco, le estamos básicamente diciendo ¡Usa todo! Go!. Aquí está mi cuenta y mi dinero toma, toma, toma ... y no. Entonces, entender cómo funcionan, cuáles son las restricciones. A mí siempre me gusta, por ejemplo, cuando trabajo con lambda con un servicio que voy integrar que no se bien cómo funciona, yo le doy ningún permiso. Miro los errores, le doy el permiso que me piden el error. Testeo de vuelta. Le doy el permiso que me pide el error hasta que me deja pasar. Y ahí digo, zas! quedó configurado. Voy al revés porque de esa forma me aseguro de darle los dos o tres permisos que requiere y no darle permisos de más. Porque si vos te vas a buscar el internet, no sé qué te van a decir, dale 300 permiso, total. Sí, total. La gente de internet no es la que está pagando la factura de AWS si alguien se mete en tu cuenta.

Sheyla Leacock: 54:56

No, pero es así. No pongan el wildcard, el asterisco. Eso no es nada de buena práctica, por favor.

Marcia Villalba: 55:02

Pero lo encontras un montón en código en internet. Lo encontrás un montón en el libro, lo encontrás un montón en todos lados. Es muy, muy importante empezar desde ahí. Yo siempre digo. Cómo se cómo funcionan las políticas? Seguridad.

Sheyla Leacock: 55:17

No es que, como bien dices, o sea, la final, buscan como que ay, no me está funcionando. Voy a poner el asterisco y ya ya ya sé que me funciono, pero no me pongo a revisar qué es lo que realmente necesita. Entonces vayan a la documentación ah, bueno, lambda, lambda necesita esto, este permiso de lectura, este permiso de escritura, etcétera. Y de ahí, pues lo van implementando como tú bien dices, error que me sale, empieza a debuggear. Le pongo el permiso que me solicita y así le doy los permisos mínimos. Son las buenas prácticas.

Marcia Villalba: 55:43

Y cuando trabajan con serverless yo les diría que el 70% de los errores, si empezas con este política, son de permisos porque estás configurando y ay!, no me funciona, no me funciona. Ah, que no le debía configurar permiso correctamente. Le configurás el permiso. Ay, ahora anda . Así que la integración entre servicios es lo que tiene. Este Guille, alguna última pregunta?

Guillermo Ruiz: 56:08

Bueno, estamos llegando al final de este maravilloso episodio y en vez de una, hoy tengo tres. Se me han ocurrido sobre la marcha. Hemos introducido una que se la hacemos a los invitados. Pero con Sheyla, quería preguntarte ¿Cuál es la conferencia de ciberseguridad que sí o sí tendría que estar en tu mochila?

Sheyla Leacock: 56:30

Conferencia..

Guillermo Ruiz: 56:30

Una que digas...

Sheyla Leacock: 56:33

A ver. Por un lado, me voy por la de comunidad, DOJO comunidad, DOJO está mucho ya llegando a todo Latinoamérica, está haciendo conferencias. Bueno, por un lado, las del B-Sides que son buenísimas se hacen a nivel mundial en varios países. También las está incorporando la DojoConf donde también pues dentro de estos temas de ciberseeguridad con varios profesionales, otras, digamos que cerca la DragonJar esa es una conferencia pues que también sea muy de renombre, también muy conocida y muy buena para estar justamente actualizados en temas de seguridad. Y bueno, ahí nos podemos ir a a muchísimas otras muchas que se hacen también que si en España, que si en Argentina, o sea, tenemos como quien dice muchas opciones depende también de la cercanía o a la que podamos ir. Pero lo importante es eso, mantenerse actualizado. Si están haciendo conferencias de ciberseguridad cerca de donde estás o que tienes la posibilidad de esas es buenísimo, es un espacio de networking para conocer otros profesionales. Aprendes un montón, te mantienes actualizado, que es lo que necesitamos. Así que sí, yo acá mencionando un par, pero realmente es una pregunta difícil porque yo sigo bastantes conferencia y me encanta.

Guillermo Ruiz: 57:45

Siempre hay preferencias, no? La segunda pregunta, quéreferentes en ciber tienes? Yo en mi época era Kevin Mitnick ahora entiendo que habrá más gente, más joven, incluso.

Sheyla Leacock: 57:58

Pues sí, temas de referentes también es algo complicado porque siento que han sido muchas personas. Humm,, pero si me tendría que ir digamos con quien me ha motivado así, de pronto en mi carrera, Sheila Berta, ella es una chica argentina que ha estado básicamente por todo el mundo viendo temas de ciberseguridad, de hacking ético desde temprana edad, incluso tema de hacking de cabos. Y bueno, tuve la oportunidad de conocerla también por allá en el 2019 que fui a Argentina, una chica, super tesa. Y bueno, creo que me ha motivado también mucho a ver estos temas de seguridad y de cómo las mujeres, pues también podemos abrirnos caminos en esta área y y lograr grandes cosas, no? Y sí, si no mencionaría acá un montón así que bueno, vamos a hablar ahí en uno, pero son muchísimos la verdad.

Guillermo Ruiz: 58:53

Y por último, una peli, un libro, una serie que recomiendes a nuestra audiencia?

Sheyla Leacock: 58:58

Todas estas preguntas están difíciles.

Marcia Villalba: 59:04

Hacemos pensar a los invitados. Sheyla Leacock: A ver. Series. Por un lado, está Unidad 42, si no lo recuerdo que es donde digamos que son una unidad que resuelve temas de delitos cibernéticos. Entonces también hay que si una chica y hackeando, viendo temas y demás, entonces está bastante interesante. De pronto, si si quieres meterte en este mundillo o ver más o menos como son estos temas. Blacklist me gusta. Blacklist no es en específico de temas de seguridad. Es una serie que bueno, a la final, eh? Bueno, tiene una trama super interesante. Son temas donde ves a una persona con mucha experiencia que le da como que una lista de sospechosos o criminales al FBI y bueno, ahí vas a ver temas también relacionados a temas de ciberseguridad, que si cifrado, que si esto... necesitamos descifrar tal cosa, entonces es un poquito también, no es una serie propia de ciberseguridad, pero toca bastante el tema y bueno, a mí me ha encantado y me ha dejado enganchada. Tiene como ocho temporadas por allá . Y de libros. También es difícil. Yo soy muy fan de los libros de 0xword la editorial esta que tiene muchos libros en español. Hmm, hay de todo gusto. Hay temas de vulnerabilidades. Hay temas que si la deep web, etcétera. Temas de pentesting, hacking ético, o sea, tienes como que un sin fin también de pronto, dependiendo de lo que quieras enfocarte, o ir aprendiendo, pues vas a tener allí las opciones. Y uno que me ha gustado mucho es, el de Hacking APIs es de Corey Ball es un libro bastante reciente, básicamente. Y bueno, me ha gustado bastante ahí la lectura y como ve los temas de seguridad en APIs. Pero por eso digo que recomendar va a ser difícil, hay muchas opciones, pero bueno, son algunas las que puedo mencionar. Se las dejamos, se las dejamos todas en la cajita de descripción. Así la audiencia puede ir a a leer, mirar y perderse en el internet . Sheyla, muchísimas gracias por esta charla. Se me pasó volando la hora. O sea, cuando miré ahora, digo quéya estamos en el final, este súper súper interesante charlar contigo. Les dejamos a la audiencia también los links a tus redes sociales para que puedan ir y contactarte y saber más de ti, en qué estás trabajando y aprender más de ciberseguridad desde tu ángulo.

Sheyla Leacock: 1:01:48

Muchísimas gracias, Marcia, Guillermo por la invitación y la verdad que si se ha pasado el tiempo volando, aquí todos chévere conversando y es un tema que da para más. Pero bueno, hay que llegar a un final, así que..

Marcia Villalba: 1:01:59

Ya lo creo. Los perros han paseado, los niños se han dormido y los platos se han lavado. Así que es hora de terminar el episodio del podcast, que eso es lo que está haciendo nuestra audiencia mientras nos escucha. Pero bueno, si quieren saber más, están todos los links en la cajita de descripción para seguir entrando en profundidad de la ciberseguridad. Y con eso nos despedimos de este episodio. Muchas gracias Guille. Muchas gracias Sheyla por haber venido a compartir toda esta información. Y muchas gracias a la audiencia por haber escuchado el episodio. Nos vemos en dos semanas con otro episodio del podcast de charlas técnicas de AWS.