3 oct 2013

Entrevista a Miguel Ángel Arroyo - Hacking Ético

Hoy tengo el placer de realizar una entrevista a Miguel Ángel Arroyo, persona que vive constantemente y de manera directa la seguridad. Miguel es editor de un blog conocido de seguridad, del cual le preguntaremos, y es socio-fundador de una empresa, con un curioso nombre ;) y que "vive" en Córdoba. Miguel Ángel, en tu próximo viaje a Madrid, tenemos pendiente hablar. ;)
Os dejo con la entrevista, disfrutarla.
1. Para la gente del mundo de la seguridad (que serán pocos) que no conozca a Miguel Ángel Arroyo, ¿Quién es él? ¿Qué es Proxy Servicios y Consulting?
Miguel Ángel Arroyo es un apasionado de la seguridad informática que un buen día decidió convertir su hobby y pasión en su profesión. De ahí nació Proxy Servicios y Consulting, una pequeña empresa cordobesa que ofrece servicios de seguridad IT, como auditorías e implantación de soluciones de seguridad. En la actualidad, además de desempeñar mis labores como administrador de la empresa, soy Cloud Senior Security en SVT Cloud y miembro de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos.
2. Una de las recomendaciones que más nos gusta dar a los jóvenes que empiezan en el mundo de la seguridad, y quieren hacerse un hueco, es que escriban sus experiencias y conocimientos en un blog. Tú como editor del blog hacking-etico, ¿Qué opinas de ello?
Opino que es fundamental compartir las experiencias y conocimientos ya que es la mejor manera de tener un repositorio propio que podemos usar como base de conocimientos y además nos obliga a mantenernos actualizados en este complicado mundo de la seguridad. Así lo hice con hacking-etico.com y de momento estoy muy contento con la experiencia. Es muy gratificante en todos los sentidos.
3. Como fundador de Proxy, ¿Cómo ves actualmente el sector de la seguridad, en cuanto a los servicios de auditoría?
Si ya de por sí es difícil vender servicios de auditoría de seguridad, con la crisis económica actual, esto se complica todavía más. Aún así, parece que las empresas van tomándose más en serio este tipo de servicios y cada vez hay más demanda. Potenciar el estándar ISO/IEC 27001 y el ENS (Esquema Nacional de Seguridad) debe dar pie a una mayor demanda de auditorías de seguridad IT y de la información. Al final, todo va relacionado. Tampoco debemos olvidar todo lo que se está empezando a generar con las infraestructuras críticas, y todo lo que eso conlleva en cuanto a evaluar y auditar la seguridad de este tipo de infraestructuras.
4. ¿Crees que la formación en seguridad en España es buena? ¿Qué valor podría diferenciarnos en cuanto a otros mercados?
Creo que la formación en general en España es buena, aunque muy mejorable. En el caso de la seguridad, creo que es escasa y demasiado privatizada, es decir, debería estar más presente en la formación reglada. No es lógico que un Ingeniero Técnico de Sistemas en la actualidad salga de la Universidad con tan pocos conocimientos en el campo de la seguridad.
En cuanto a valores diferenciadores, si nos centramos en la formación privada, sería interesante una mayor colaboración entre las entidades de formación y las empresas especializadas del sector, para poder ofrecer cursos con certificaciones profesionales de calidad. Por último, veo necesaria una mayor oferta en cursos de seguridad pero con un enfoque más técnico, como por ejemplo para aprender a manejar firewalls, IDS/IPS, honeypots, SIEM, etc.
5. En las auditorías y consultorías siempre ocurren pequeños detalles, que se nos quedan marcados, por ser cómicos, entre otras cosas, ¿Alguna que nos puedas contar?
Claro, además que es una auditoría que nunca olvidaré. Mi compañero y yo nos encontrábamos realizando unas pruebas de descubrimiento en la red del cliente, con el administrador de red sentado a nuestro lado y no nos quitaba ojo de encima. De pronto, una empleada llama por teléfono y le comenta al administrador que una impresora se había atascado, el administrador colgó el teléfono y nos pidió que dejáramos de hacer lo que estuviéramos haciendo porque habíamos atascado una impresora. ¡Imagínate nuestras caras! En fin, tuvimos que parar el ataque “Paper in the Middle” :P
6. ¿El último libro de seguridad que hayas leído?
Pues en la actualidad estoy con dos en paralelo, un libro sobre Gestión y Análisis de Riesgos y uno de Metasploit para Pentesters, ¿no sé si te suena este último? ;-)
7. En lo que respecta a la actualidad, ¿Crees que Internet para un profesional de la seguridad es seguro? ¿Tu opinión respecto a la NSA?
Quiero creer que sí es seguro, pero las noticias que nos llegan la verdad es que nos hacen dudar acerca de nuestra privacidad y de la visibilidad de nuestra actividad en la red. Respecto a la NSA, pues claramente está usando todo su potencial para tener un control absoluto sobre la red y sobre lo que se hace. El problema de todo esto es que al final nos tendremos que basar en la confianza, porque realmente ¿quién garantiza mi privacidad en la red?
8. La pregunta clásica, ¿Qué opinas de Flu Project?
Me parece que hacéis una labor impresionante y es de agradecer que estéis continuamente compartiendo vuestras experiencias y conocimientos. Sólo puedo añadir una cosa: continuad así ya que sois un ejemplo a seguir.
9. Miguel, infórmanos sobre tus próximos eventos.
El próximo 16 de octubre tendrá lugar el II Hack and Beers que es un pequeño evento donde nos juntamos todas aquellas personas que tenemos en común nuestra pasión por el Hacking y además lo acompañamos con una cervezas y aperitivos para hacerlo más distendido. ¡Obviamente estáis invitados!En noviembre tendrá lugar el II Hacklab Córdoba, donde impartiremos una serie de talleres de hacking a todo aquel que quiera acercarse. Será a mediados de noviembre.Tanto uno como otro son eventos que impulsamos y creamos con la máxima ilusión.
10. ¿A quién te gustaría que entrevistásemos en el futuro? ¿Alguna recomendación?
Posiblemente ya lo habréis hecho o lo tengáis en mente, David Hernández (Dabo) o Sergio Hernando.

2 comentarios:

  1. [...] Hoy tengo el placer de realizar una entrevista a Miguel Ángel Arroyo, persona que vive constantemente y de manera directa la seguridad. Miguel es editor de un blog conocido de seguridad, del cual le preguntaremos, y es socio-fundador de una empresa, con un curioso nombre y que “vive” en Córdoba. Miguel Ángel, en tu próximo viaje a Madrid, tenemos pendiente hablar.  [...]

    ResponderEliminar