Hoy comienzo una serie de artículos para Flu Project dónde entrevistaremos a varias personas del mundo de la ciberseguridad. El rincón se llamará "Entrevista a..." y cada 7-14 días iremos publicando diferentes entrevistas de personas que para nosotros son relevantes, y que consideramos que aportan a la comunidad de la ciberseguridad.
Hoy, para inaugurar la sección, tenemos a Marta Barrio. Marta es una de esas personas que no paran de hacer cosas, que sacan el tiempo para dejarse liar de cualquier lugar y que siempre está dispuesta a sumar. Sin duda, Marta tiene una carrera intensa y si no la conocéis, os recomiendo echarle un ojo a su CV para ver que ha dedicado esfuerzo y tiempo a una de sus pasiones, la ciberseguridad.
Sin más, os dejo con Marta Barrio.
1.- ¿Quién es Marta Barrio?
Una persona que intenta ser feliz disfrutando de las pequeñas cosas, que cuida su salud, tanto mental como física, que le gusta practicar crossfit y leer todo lo que cae en sus manos. Además de eso, se dedica a la ciberseguridad, intenta aprender cada día algo nuevo y, si puede ayudar a alguien por el camino, mejor que mejor.
2.- ¿Cómo te das cuenta que el mundo de la informática es lo tuyo? ¿Cómo te das cuenta que en ese mundo lo que realmente te llama es la ciberseguridad?
Me di cuenta de lo primero, siendo muy pequeña, en el colegio, teníamos clase de informática muy variada, cada semana en un ordenador y en cada ordenador te enseñaban una cosa, desde cosas básicas de office, hacerte un primer correo electrónico, juegos de lógica...
Ahí vi que los ordenadores en general me entretenían, y como no se me daban mal unos cuantos compañeros y yo pasamos a ser un poco "equipo de soporte", nos llamaban en horas libres para hacer pequeñas cosillas como actualizar los equipos, instalar las impresoras, poner a punto equipos nuevos... y nosotros encantados.
De la parte de ciberseguridad, con casi la carrera ya terminada, y de casualidad, empecé a trabajar en desarrollo y vi que no era lo que quería hacer el resto de mi vida, así que empecé a buscar otras opciones. En la empresa en la que estaba un buen amigo buscaban gente recién licenciada y no hacía falta experiencia, era de ciberseguridad, ahí lo terminé de descubrir y confirmé que esto sí lo puedo estar haciendo el resto de mi vida.
3.- ¿Cómo son los comienzos para ti en el mundo de la ciberseguridad?
Pues de primeras muy perdida, pero fue un aprendizaje continuo (y lo sigue siendo), tienes alrededor gente que sabe mucho más que tú, les preguntas, empiezas a investigar por tu cuenta, y de repente estás en tu tiempo libre montando entornos y replicando pruebas que has leído en un blog, visto en un vídeo, te surgen preguntas, buscas respuestas, y comienza el bucle de diversión.
4.- Hace ya unos cuantos años que nos conocemos. Incluso, podemos decir que hemos estado metidos en varias historias: Retos de ISACA, hackersClub, hemos compartido docencia en Másteres, etc. ¿Qué es lo que te motiva a meterte en estas historias aparte de tu trabajo?
Que no se decir que no. Me explico, veo una oportunidad de aprender y de poder ayudar a alguien, como me ayudaron a mi cuando empezaba, y esa es la verdadera recompensa.
A veces en medio del proceso me arrepiento de haber dicho que sí porque no tengo tiempo, pero al final llego y la satisfacción de haber dado lo mejor de mí termina ganando a las dudas de los días previos.
5.- Para mí eres una referente que impulsa a las mujeres a meterse en este tipo de carreras profesionales, ya que andas con eventos, participando en muchas formaciones, haciendo una gran labor en tu trabajo ¿Cómo ves este tema?
En estos años he visto una gran evolución, el número de mujeres en este mundo es cada vez mayor, antes en conferencias lo raro era ver una mujer, ahora lo raro es ver algún grupo sin que las haya, seguimos siendo menos claro, pero el cambio está ahí.
La clave, en mi opinión, no está en dar más facilidades a las mujeres para becas, puestos etc. porque tengas que alcanzar un mínimo "para quedar bien" sino en dar visibilidad a que hay mujeres en todos los departamentos. Y es un cambio que tiene que suceder en la base de la educación, aquí podemos debatir mucho tiempo...
6.- ¿Cómo ves el sector de la ciberseguridad en los próximos años? ¿Somos una burbuja o somos una necesidad creciente por la transformación digital?
A día de hoy creo que somos una necesidad creciente, por lo que en los próximos años va a seguir creciendo, ¿hasta donde? Dependerá de la importancia que los usuarios comiencen a dar a sus datos. Cuando la gente deje de decir "mis datos, ¿quién va a querer mis datos? si yo no soy famoso", puede significar que se le esté dando la importancia que se debe, pero no creo que seamos una burbuja.
7.- ¿Cómo crees que ha evolucionado la ciberseguridad en este último año debido a la pandemia?
Ha avanzado mucho, a la fuerza, en un año puede que se haya dado una evolución que en la situación previa hubiera tardado por lo menos 5 años.
Las empresas se han tenido que poner las pilas si querían sobrevivir, han tenido que hacer cambios que ni planteaban, con los riesgos de seguridad asociados, y de repente se han dado cuenta de que ese mundo de ciberseguridad que veían de lado les afectaba directamente.
8.- ¿Cómo crees que debería ser un buen entrenamiento para un Red Team? Recientemente hemos hablado de ello en un coloquio de Eniit, ¿Cómo fue la experiencia?
Mi opinión personal, tienen que tener un plazo de tiempo de ejecución alto (¿un año?), un red team no comienza el día que se lanza la primera herramienta, puede empezar mucho antes creando el entorno de ataque (cuentas de correo, web falsas, etc.), y a partir de ahí ir registrando las acciones que se llevan a cabo y los resultados, para una vez que se entregue el informe final, poder validar con el blue team si los ataques exitosos se podrían haber detectado y cómo, para implantar soluciones, si los logs recogieron toda la información, etc. para identificar puntos de mejora.
No hay que olvidar que el red team sirve para alimentar al blue team con el objetivo común de mejorar el estado de seguridad de la organización.
En cuanto al
coloquio de Eniit, lo disfruté mucho, era la primera vez que participaba en una charla de este estilo y fue un placer compartirla con los grandes profesionales que participaron, y poder hablar en un ambiente relajado de lo que más nos gusta.
9.- Antes de acabar, ¿Qué consejos darías a todos los lectores que quieren meterse en este mundo de la ciberseguridad?
Lo primero, que si se quieren meter en este mundo sea porque les guste, no como "sector con mucho futuro", lo segundo, que lean, se formen, no tengan miedo de preguntar, que por regla general en este mundo la gente te va a ayudar y te va a facilitar recursos para ayudarte. Ah, y paciencia, para aprender de verdad, las prisas no son buenas compañeras.
10.- Para finalizar, ¿Cómo conociste a Flu Project? Después de tantos años, ¿Qué diferencias ves en el blog en estos años?
Pues echando la vista atrás... lo conozco desde hace algo más de 8 años, en cuanto empecé en ciberseguridad me lo recomendaron, reconozco que creo que leí todas las entradas desde ese momento hacia atrás, cacharreé con flu, aprendí con los retos de hacking, así que puedo decir que he aprendido mucho en él.
En cuanto a diferencias, habéis madurado con la edad, al principio era mucho más técnico en cuanto a los trucos más técnicos que enseñábais, entiendo que por ocio y/o trabajo de ese momento, viví el bajón de pasar a post diario a posts "cuando podíais" y el nuevo renacer con más colaboradores que le ha dado dinamismo (cantidad de contenido) y nuevas temáticas. Así que espero seguir leyéndolo muchos años más.
PD: Yo sigo siendo fan de los post más técnicos :)