13 diciembre 2013

Llevo un par de años trabajando con Miguel Angel Sanchez Barroso, y he tenido el atrevimiento de pedirle hacer esta entrevista para el blog. Miguel lleva más de 10 años trabajando en ING Direct y desempeña el papel de Information Security Officer. Por sus manos pasan todos los proyectos del banco y nunca quedan cabos sueltos. En ocasiones, tengo la suerte de no estar completamente de acuerdo con el y tenemos largas discusiones sobre aspectos tecnológicos o de negocio. Son realmente enriquecedoras  y siempre aprendo algo nuevo. He de confesar que siempre le acabo dando la razón, aunque sea con meses de retraso.

Para todos aquellos que queráis acercaros y enteder a lo que me refiero, os recomiendo su blog Negocios bajo control, donde se da una visión estratégica y de control de muchos de los procesos en los que los profesionales de seguridad se ven envueltos. 

¿Cómo empezaste en el mundo de la seguridad? ¿Cuál es el aspecto que más te gusta?

Yo procedo del mundo del desarrollo de sistemas y la consultoría. Casi por casualidad, en 2003 empecé a ocuparme de temas de seguridad de la información para cubrir temporalmente una baja. Lo cierto es que comencé a “engancharme” y a profundizar en temas de control de sistemas y auditoría de IT y desde entonces me he dedicado en exclusiva al ámbito de la gestión del riesgo tecnológico y el fraude online.

En cuanto a lo que más gusta, yo diría que es cuando compruebas que un mecanismo de control en cuyo diseño has participado funciona y ayuda a detectar/prevenir un incidente; por ejemplo, abortando automáticamente un intento de fraude online. También me motiva la sensación continua de que me queda un universo de temas por aprender. Es una profesión que te obliga constantemente a estar actualizado.

¿Cómo crees que evolucionará la seguridad en la banca?

Creo que la regulación bancaria, cada vez más estricta, forzará a una estandarización de procesos cada vez mayor. Puede que esto lleve a que aspectos relacionados con la identidad digital, la autenticación fuerte y la seguridad de las transacciones sean gestionadas de manera descentralizada por empresas muy fuertes desde el punto de vista técnico, probablemente participadas por los bancos. No obstante, he de advertir que no soy muy amigo de predicciones y de que no suelo acertar en el cupón de la once…

 ¿Cuáles son los mayores retos a los que se enfrenta un banco en Internet?

Desde el punto de vista estricto de la seguridad, creo que por un lado la disponibilidad y la capacidad de prestar un servicio de calidad, aún en situaciones adversas en la red como pueden ser los ataques de denegación de servicio distribuidos (DDoS);  por otro lado, ser capaces de mantener un nivel de seguridad básico homogéneo en plataformas muy complejas distribuidas, con interconexión de sistemas externos y accesos múltiples de empleados, pero también de usuarios externos.

 ¿Sobre APT, DDoS?

Se trata de una serie de siglas, casi impronunciables, que han sido creadas para fomentar el campo de la logopedia y dar trabajo a las empresas de seguridad… (chiste, risas…)

Fuera bromas, en el caso de los APT (ataques sofisticados diseñados exprofeso y dirigidos para robar los secretos de organizaciones e incluso estados), como en el de los ataques de denegación de servicio distribuidos (DDoS), asistimos a un cambio de tendencia: el llamado ciberespacio, que desde hace más de una década ya fue identificado por la delincuencia “menor” como una fuente de ingresos importante, es ahora cada vez más un campo de batalla real en donde se desarrollan los conflictos sociales y entre estados y las guerras económicas. Personalmente pienso que el abordaje de estos nuevos escenarios requiere paradigmas completamente nuevos en cuanto a la seguridad.

 ¿Qué opinas de la seguridad en la nube?

La nube brinda una oportunidad inigualable para que muchas empresas pequeñas y medianas puedan dar el salto a la economía de Internet, beneficiándose de unos niveles de seguridad y fiabilidad que por sí mismos no podrían alcanzar;  Sin embargo, creo que la oferta de los proveedores de servicios en cloud debe madurar aún un poco más, especialmente en lo relativo a entender cuáles son las necesidades de las empresas (especialmente las más grandes) para cumplir con leyes, reglamentos, requisitos  de seguridad y de auditoría… En este sentido hay unos conceptos que me parecen interesantes y que deben ser incorporados en la oferta de servicios estándar de los proveedores.  Se trata de la “Transparencia como Servicio” y la “Confianza como Servicio”.  

 He visto en tu mesa el libro de Web Application Hacker's Handbook, Te he pillado.

Las personas que nos dedicamos a la seguridad desde la perspectiva de la gestión corporativa corremos en mi opinión el riesgo de alejarnos demasiado de la realidad más técnica y perder eficacia y perspectiva. Para poder evaluar de una manera lo más objetiva posible el riesgo tecnológico real, necesito ser capaz de conocer en la práctica los métodos y técnicas para descubrir y explotar vulnerabilidades. En mi caso, dado mis origines como programador, procuro mantenerme muy al día en cuanto a la seguridad de las aplicaciones web y móviles, que es en mi opinión uno de los frentes de batalla que son y van a ser más activos...El libro que mencionas es desde mi punto de vista una auténtica obra maestra del género y si alguien no lo conoce se lo recomiendo, vale la pena.

 Recomiéndanos otros dos libros técnicos que hayas leído y te hayan gustado y otros libros no tan técnicos.

Todos estos me parecen fabulosos:

- Fraud in Accounts Payable: How to prevent it (no recuerdo el autor)
- La doctrina del Schock, de Naomi Klein
- Electronic Projects for Musicians, de Craig Anderton
- The Stomp Box CookBook (Build advanced effects for electric guitar and bass), de N. Boschorelli

 ¿Alguna anécdota técnica?

Me viene a la Cabeza una que se remonta al año 2000. Acabábamos de poner en producción la web de un servicio de banca (yo era jefe de proyecto). A las pocas horas empezaron a recibirse llamadas de clientes alarmados diciendo que podían ver los datos y los saldos de otros clientes... Casi mancho los pantalones... Al poco tiempo descubrimos que la página de demo del servicio era tan realista que los clientes la confundían con la realidad...modificamos la página poniéndole un faldón rojo "PAGINA DE DEMO NO REAL"....

 ¿Java o .NET? ¿IIS o Apache? ¿Windows o Linux?

Soy más de java, Linux y apache; pero no soy un fundamentalista en este sentido. Me gusta el concepto del software libre

 Las aplicaciones móviles y la seguridad

Para mí, los retos de la seguridad de las aplicaciones móviles no están tanto del lado puramente técnico, ya que al igual que con otro tipo de sistemas, en los dispositivos móviles se pueden aplicar técnicas y controles que permiten asegurar razonablemente la información. Hay otro tipo de factores que influyen en los riesgos, como pueden ser:

1) La diversidad de los tipos de usuarios y los contextos de uso de estos dispositivos.
2) La estrecha vinculación del dispositivo con la persona y su localización geográfica.
3) La facilidad con que los dispositivos pueden ser perdidos o robados.
4) Una cierta presión de las empresas por generar aplicaciones para móviles y tablet sin perder el tren de la oportunidad de negocio
5) La consiguiente presión en los plazos de entrega para que los desarrolladores entreguen las aplicaciones
6) Un foco muy fuerte en la facilidad de uso y en la experiencia de usuario y menos intenso en lo que a control y seguridad se refiere.
7) El poco peso que los aspectos de seguridad y las prácticas de programación segura tiene en los planes de formación de los desarrolladores de software.
8) La creencia generalizada y errónea de que el móvil es más seguro que un ordenador común.
9) El modo de distribución de las aplicaciones en los markets y la frecuente poca discriminación de los usuarios cuando autorizan los permisos que requieren las aplicaciones.

 ¿Qué recomendarías para iniciarse en el mundo de la seguridad?

En primer lugar frecuentar y seguir sitios webs como el vuestro que me parece excepcional. Después,  tratar de leer y digerir todo lo posible sobre el tema, para tener una panorámica lo más amplia posible sobre  las distintas áreas de especialización. En tercer lugar, poner en práctica todo lo aprendido (y que entre en el ámbito del interés particular de cada cual); eso sí, recomiendo que los “experimentos” se hagan en condiciones controladas, en el propio laboratorio y nunca tratando de descubrir vulnerabilidades en sistemas ajenos. En el terreno de la práctica profesional, creo que aportan valor los estudios regulados en las áreas relacionadas con la tecnología y (aunque sé que muchos discrepan) las certificaciones como las del ISC2 o las de la ISACA.

¿Tendencias de seguridad para el 2014?

Bueno, creo que la seguridad de los servicios Cloud va a seguir siendo un foco de atención importante. Creo que el ataque a los accesos de administración de estos servicios será algo cada vez más frecuente, al concentrarse en estas redes cada vez más valor económico.  Por otro lado, los responsables de servicios en la nube van a tener que plantearse seriamente ofrecer, como ya he mencionado, la confianza y la transparencia como un servicio más a ser consumido por sus clientes, para poder llegar a clientes verdaderamente grandes. 

En otro orden de cosas creo que continuaremos oyendo hablar frecuentemente del BYOD, el Big data asociado a la monitorización de seguridad y, ya desde la perspectiva de los consumidores finales, creo que aún está por explotar en todo su potencial el compromiso masivo de dispositivos portátiles y sus aplicaciones (móviles, tablets). Este crecimiento creo que irá en paralelo con la expansión de los servicios de banca móvil.

4 comments :

Longinos Recuero Bustos dijo...

Enhorabuena Alejandro por la entrevista. Me ha gustado mucho.

Me quedo con la frase "... También me motiva la sensación continua de que me queda un universo de temas por aprender ...". Eso demuestra que es todo un maestro.

Gabriel dijo...

Muy buena la entrevista! En cuanto al libro WAHH, voy a parafrasear a alguien que dió un review en amazon: "Es como si cada noche mientras estas durmiendo, los autores se meten a tu biblioteca y le agregan contenido".. Es un libro para leerlo una y otra vez, que siempre encuentras algo que no habías tenido en cuenta antes. Obra maestra sin duda

cami dijo...

Muy buena entrevista!! Menudo equipo tenéis :)

angelhc dijo...

Gran entrevista, gran entrevistado y como no gran entrevistador.
Miguel Angel, aparte de ser un crack en lo suyo es una de esas personas con las que merece la pena y mucho tener una conversación de esas que se alargan.
Enhorabuena SBD.