Charla impartida por Héctor Sánchez Montenegro el día 27 de Octubre de 2008 en Getafe (Madrid), dentro de la conferencia Asegúr@IT IV sobre los avances y preocupaciones de Microsoft en temas de seguridad informática.

1. Construcción Segura de Tecnología Hector Sanchez Montenegro National Technology Officer Microsoft Ibérica

3. Di conmigo: “Nunca me quejaré de mi trabajo”

9. Lección 3.- Las configuraciones adecuadas son imprescindibles NATO Accelerates Windows Vista Deployment Using the Windows Vista Security Guide Posted: 10/09/2008 As NATO prepared to migrate its desktop and laptop computers from Windows® 2000 to Windows Vista®, it needed to make choices about how to create a security baseline based on the configurable security settings in the new operating system. In the past, this process could delay the adoption of a new operating system by up to 18 months after it had been released. NATO avoided this delay by using the Windows Vista Security Guide to deploy its security baseline prior to the release of the product and to benefit from the guidance on deploying specialized security systems. La OTAN acelera la implementación de Windows Vista gracias a las guías de seguridad 10/09/2008 Habiendo decidido la OTAN migrar sus equipos de escritorio y portátil desde Windows ® 2000 a Windows Vista ®, tomó decisiones acerca de cómo crear una línea de base de seguridad de acuerdo con los parámetros configurables de este nuevo sistema operativo. En el pasado, este proceso podría retrasar la adopción de un nuevo sistema operativo hasta 18 meses después de haber sido liberado. La OTAN evita este retraso mediante la guía de seguridad de Windows Vista, para implementar su base de seguridad antes del lanzamiento del producto.

11. Lección 3.- Las configuraciones adecuadas son imprescindibles Pero …

15. Vulnerabilities disclosed and fixed Quarterly totals, 2000-2006** Lección 5 – La seguridad efectiva requiere un proceso robusto de desarrollo **Source: Which database is more secure? Oracle vs. Microsoft, David Litchfield, NGS Software, 21-November-2006 *Source: http://blogs.csoonline.com/blog/jeff_jones

16. Windows Vista – Primeros 12 meses http://blogs.csoonline.com/blog/jeff_jones Lección 5 – La seguridad efectiva requiere un proceso robusto de desarrollo

19. Source: http://blogs.csoonline.com/blog/jeff_jones Lección 5 – La seguridad efectiva requiere un proceso robusto de desarrollo “ We actually consider Microsoft to be leading the software [industry] now in improvements in their security development life cycle [SDL].” John Pescatore Vice President and Distinguished Analyst Gartner, Inc (www.crn.com, Feb 13 th 2006)

22. Pregunta… 2001 2008 Pregunta : “…Suponemos que a lo largo de los años te habrás encontrado en más de una situación "hostil" a la hora de dar conferencias como responsable de seguridad de Microsoft, por ser objeto de crítica tanto por parte de ponentes (nosotros hemos participado en alguno) como de público. ¿Has observado alguna evolución en las críticas durante estos años o son recurrentes? Respuesta: “…En el 2001 me sentía que Microsoft me daba una navajita cortaúñas y me decía: Ale chaval, haz lo que puedas. Ahora sinceramente siento que la "navajita cortaúñas" se convirtió en un bazoca.

25. El “Long Tail” de las vulnerabilidades de seguridad… Sources: IBM X-Force 2007 Security Report “ Why try to chase a difficult overflow out of Vista when you have Acrobat Reader installed, some antivirus software with shoddy file parsing, and the latest iTunes?” Halvar Flake Security Researcher Microsoft BlueHat Conference September 2007

26. www.microsoft.com/sir

28. Malicious y Potentially Unwanted Software Geographic distribution of malware – MSRT

32. Top 10 Potentially unwanted software detections by country/region

34. Muchas gracias