Hola a todos!
A partir de ahora, y con carácter mensual, vamos a dedicar un pequeño espacio para entrevistar a expertos en seguridad, tanto de Microsoft como de otras compañías. Intentaremos que sea un espacio diferente, más colaborativo con los lectores del blog, por tanto estará abierto a vuestra participación.
Podéis proponer temas y sugerencias dirigiéndoos al siguiente correo electrónico: i-merma@microsoft.com
La primera entrevista la abre Chema Alonso, Director Técnico de Informática 64 y MVP de Microsoft. ¿Qué significa ser MVP? Para aquellos que no estéis muy familiarizados con el termino, el programa Most Valuable Professionals (MVPs) está compuesto por una comunidad de líderes técnicos a través de todo mundo, a quienes se premia por compartir de manera voluntaria su conocimiento. Personas de reconocido prestigio, absoluta confianza y accesibles que poseen una amplia experiencia en uno o varios productos de Microsoft® y que participan activamente en las comunidades en línea para compartir sus conocimientos , experiencia y ayudar a los demás.
1. ¿Cómo fueron tus inicios en el mundo de la seguridad informática?
Mis comienzos en este mundo fueron desde una aproximación desde el mundo de los sistemas informáticos. Yo venía de trabajar con bases de datos, con redes y tecnologías Microsoft de servidores y llegar al mundo de la seguridad fue un camino sencillo y casi de atracción mutua. A mí me encantaba y había una necesidad grande de profesionales en aquellos momentos.
2. Tú que eres una persona de mundología… Son conocidos tus viajes por todo el mundo: China, Argentina, EEUU… ¿Como consideras que se encuentra España respecto al resto de países en materia de seguridad?
Esta es una pregunta que me hacen muchas veces y siempre tengo que matizarla de secciones. Creo que tenemos grandes profesionales y una gran comunidad de expertos. Sólo hay que ver como hay profesionales españoles en los principales equipos de seguridad de las grandes empresas. Caso de Fermín en el MSRC de Microsoft, Palako en Yahoo! y un largo etcétera. Además, sólo hay que ver que tenemos representación de profesionales españoles en grandes conferencias internacionales, como los Sexy Panda en la Defcon o David Barroso en la última RSA.
Esto se nota en cuanto a las empresas de seguridad que hay en España, grupos como Hispasec, el laboratorio de Panda Security, el equipo de seguridad de SIA o S21Sec, por citar alguno de los muchos que hay, son de muy alto nivel.
En cuanto a las empresas, en general, pocas han tomado conciencia respecto a la seguridad. Han hecho avances, sobre todo las grandes, invirtiendo en tecnologías, productos y auditorías, pero todavía no se ha metido la cultura de la seguridad en sus procesos. En cuanto a las medianas y pequeñas, empiezan ahora a pensar ello muy tímidamente.
3. ¿Cómo crees que está influyendo la crisis en la toma de decisiones en el área de seguridad?
Es una pregunta difícil. Yo creo que frenar la inversión en seguridad es contraproducente, pero supongo que los responsables de los presupuestos deben ser mucho más finos en estos momentos. Es evidente que la alineación con el negocio por parte de los equipos de IT debe ser especialmente cuidadosa en estos momentos para ayudar a generar más productividad a las empresas, pero una carencia de inversión en seguridad puede hacer que salga más caro generar una nueva vía de inversión con riesgos de seguridad que no sacarla. No olvidemos que los equipos de seguridad no sólo se ven afectados por problemas de continuidad de negocio, imagen o estafas, sino que además existe una legislación vigente que cumplir que obliga a mantener una infraestructura segura.
4. ¿Cuál crees que son las tendencias de seguridad para las empresas en el largo plazo?
Pues a largo plazo no sé, pero a corto y medio plazo tienen muchos retos por delante. El primero de ellos continuará siendo el defenderse frente amenazas clásicas interpretadas por las nuevas mafias mediante el uso de malware y botnets. Seguidamente las empresas tienen el reto de defenderse, y más en estos momentos, contra los riesgos de fuga de información, robo, espionaje, etc.. provocado por ataques o negligencias internas.
Además, tenemos retos tecnológicos de nivel en este país, la integración del e-DNI, la aplicación definitiva de la LOPD, la estandarización ISO 27001 y la inminente llegada de la e-administración con la ley de Acceso hace que el panorama de la seguridad sea de una actividad frenética.
Pararse en esta carrera puede suponer retrasar una empresa u organización su competitividad.
5. ¿Qué ventajas crees que aporta el software propietario frente al software libre frente a garantizar la privacidad y seguridad de la información?
Realmente no creo que el que sea software propietario o no aporta algo mejor de forma estructural. Lo que sí es cierto es que existen productos de software comercial que no tienen competencia en el mundo del software libre simplemente porque el modelo de negocio del software libre en ese campo no ha generado suficiente dinero como para mantener la competitividad.
El software libre tiene buenos proyectos, confiables y seguros, pero estos son muy pocos comparados con una gran mayoría de ellos que no tienen recursos para mantener una evolución constante y son una autentica incertidumbre en su futuro inmediato.
Yo creo que cierto software comercial da una garantía de soporte y continuidad en una línea futura de trabajo. Una empresa no puede actualizar sus sistemas cada seis meses, ni actualizar diariamente su software ni, por supuesto, cambiar la arquitectura de sus servicios porque un producto sea discontinuado.
El software libre y el software pueden y deben convivir en una búsqueda equilibrada entre la inversión adecuada en tecnología para una productividad mayor, tanto de la empresa como de la administración de este país.
6. Muchas veces la seguridad no es tenida en cuenta como un factor determinante para la competitividad de las empresas ¿Qué opinión tienes al respecto?
El que no tome la seguridad como un factor determinante para la competitividad de la empresa es un peligro en la gestión de presupuestos y deberían mandarle a hacer algún otro trabajo.
Desde mi ocupación laboral, realizando test de intrusión a empresas, he visto a muchas compañías perder dinero por sistemas inseguros. Empresas que no han podido trabajar durante días porque les han colonizado sus servidores de correo y no se podían comunicar con sus clientes y proveedores, empresas que no han podido pagar impuestos a tiempo por culpa de virus informáticos y directamente empresas a las que les han robado dinero a través de webs inseguras.
El que necesite que le expliquen esto debe ser puesto en un listado de managers que nunca deben ser contratados en una empresa.
7. Has participado proactivamente en el voluntariado de seguridad de Microsoft, dando charlas de seguridad online a los menores en diferentes colegios ¿Cuál ha sido tu experiencia en esta iniciativa?
Pues me lo he pasado genial, los chavales son muy divertidos y espontáneos. Sus reacciones son de asombro, miedo y descubrimiento. Cuando les explicas los problemas posibles, los riesgos y lo que pasa en Internet si no se toman precauciones ellos se sienten identificados. Te cuentan sus experiencias y te piden consejo. Es increíble el uso intensivo que los chavales le dan hoy en día a Internet.
Siempre intento hacerles entender a ellos y a los padres que Internet es genial y que tiene que entrar, descubrir, conocer, usar y aprovecharse de este regalo que es Internet, pero que lo hagan con seguridad.
Me ha encantado la experiencia y repetiré seguro.
8. ¿Qué medidas de seguridad implementas como usuario final? ¿Eres de los paranoicos obsesionados con el malware que se puede introducir en tu pc, o más bien eres de los de “en casa del herrero cuchillo de palo”?
Pues en mi PC implemento una política genial. No abro ningún mail que viene de quién no conozco, jamás uso un usuario privilegiado o privilegios cuando trabajo con programas o navego por Internet. Todo actualizado. Firewall on. No instalo ningún programa que no sé de donde viene (tengo la suerte de tener la suscripción Technet y MSDN para disfrutar del software directamente de la raíz) y disfruto de un Windows Vista en el que tengo las protecciones activas desde principio. Es bastante sencillo mantener un Windows Vista o Windows 7 seguro sin mucho esfuerzo. Lo siento por esos pobres que reinstalan su sistema cada seis meses. Mi Vista se instaló una vez y va mejor cada día.
9. ¿Qué conferencias tienes previstas realizar recientemente?
Pues ahora mismo tenemos por delante la gira del Summer Of Security por cuatro ciudades Españolas.
Después tenemos un curso de verano fantástico en la Universidad de Salamanca donde se van a juntar 15 pájaros de cuidado en el mes de Julio.
Y después de esto me voy a Colombia a participar en otro curso internacional y de ahí a Las Vegas, a participar en la Defcon 17 con un grupo de españoles por allí. Como puedes ver yo no me aburro. ;)
10. Imagino que te lo habrán preguntado muchas veces… pero es asombrosa la dedicación que le prestas a tu blog. ¿De dónde sacas esa constancia para escribir de manera diaria?
Pues yo creo que porque después de haber estado trabajando de pintor, barnizador y albañil creo que es un lujo el trabajo que tengo y la verdad, adoro mi trabajo. Parece mucho, pero es un placer. En mi blog además escribo de lo que vivo, aprendo, descubro, dibujo o me pasa. Es un blog muy personal en el que muchas veces tengo más cosas que publicar que las que realmente pongo, pero… no quiero ser más pesado de lo que ya soy. Si lo haces con placer… siempre hay un minuto para publicar y no olvides que yo estoy conectado a Internet todo el tiempo que estoy despierto ;)
11. ¿Por qué consideras que hay tan pocas mujeres en el mundillo de la Seguridad?
No creo que haya tan pocas, el ratio es más o menos el mismo que en la informática en general. El tema es que se ha corrido la voz que en la carrera de informática no hay chicos guapos (algo totalmente falso porque aquí me tenéis a mí y al resto de los frik… digo.. de los ingenieros) y prefieren tirase por carreras con más glamour. Realmente hay algunas muy,muy, muy buenas, pero yo creo que prefieren mantener su anonimato. Muchos de esos nicks que se ven por ahí son chicas, pero es difícil saberlo cuando el Nick es ka8bu_kiFX!
12. Nos das permiso para publicar esa famosa foto del calendario…. ¿¿????
Claro, pero… ¿es corporativo publicar una foto así en Spectra? No vaya a ser que te quedes sin trabajo sólo por lucirme. ;)
Gracias por todo Chema, si ves que este blog no continua publicando artículos, ya sabrás el motivo… :)
Mercedes Martín
Responsable de Iniciativas de Seguridad y Privacidad
Microsoft España