Entrevistamos a: Juanjo Pérez, Service & Account Manager en WISE Security

/in , , /by

 

En este nuevo número de NEWISE, entrevistamos a Juanjo Pérez, Service & Account Manager en Wise Security, quien es, actualmente, el responsable de la oficina de Barcelona y de los proyectos que se desarrollan en Catalunya. Allí, junto con su equipo, velan a diario por la seguridad de empresas de diversos sectores como banca, industria o e-commerce.

1.- ¿Cómo empezaste en  el mundo de la ciberseguridad y por qué?

Empecé en el mundo de la seguridad por casualidades de la vida: cursando la asignatura de Seguridad Informática en la FIB (Facultad Informática de Barcelona) crucé mi camino con Manel Medina y en su solicitud de becarios para esCERT vi una oportunidad de formarme en algo diferente.

En esCERT aprendí de los mejores y empezó a picarme el gusanillo del tema seguridad. Allí empezamos a crecer profesionalmente, pasamos de aprender de grandes como Matias Bevilaqcua, Jordi Linares o Abraham Pasamar a acompañar en su crecimiento a genios del sector como Albert Puigsech, Juan Vázquez, Julián Vilas, Jordi Sánchez y otros tantos que me llevarían mucho tiempo nombrar. Además, desde el 2001 aproximadamente coincidí con Domingo Cardona, con el que hasta la fecha sigo vinculado profesionalmente, buscando hacer de WISE una empresa respetada en el sector. De todos y cada uno de ellos he aprendido mucho, tanto profesionalmente como personalmente.

Actualmente mis responsabilidades van ligadas a clientes, proyectos y personas, ejerciendo de responsable de la oficina de Barcelona y de los proyectos que WISE tiene en Catalunya. Mi objetivo principal es disponer de un equipo técnico y humano sobresaliente para poder dar salida a los proyectos que WISE tiene en marcha de tal manera que los clientes estén contentos y mantengan la confianza en nosotros.

2.- ¿Qué implica ser un hacker ético para ti?

Ser un hacker ético implica tener grandes conocimientos de seguridad para poder detectar y explotar vulnerabilidades con el objetivo de reportarlas para aportar mejoras en la seguridad de internet.

Los hackers éticos, normalmente, están vinculados directamente con empresas privadas que ofrecen servicios a clientes. Otros trabajan de forma independiente, vinculando sus ingresos a programas de bug bounty. Además de estar al día de herramientas, vulnerabilidades y tecnologías, aquellos que están vinculados a empresa privada se les debe añadir skills de reporting y control de tiempos ya que los proyectos se ejecutan con limitación temporal y el entregable final es el que realmente tiene el valor por el que ha pagado nuestro cliente.

En cualquier caso, personalmente, soy de la opinión de que los perfiles de hacking ético deben invertir el mayor tiempo posible donde aportan valor, y de que deberían ser perfiles intermedios los que se encargaran de las tareas de gestión y reporting. Esta es la forma de proteger este tipo de perfiles y para eso en WISE les apoyamos con perfiles de seguridad especializados en gestión de proyectos, y el binomio funciona.

3.- ¿Cómo ves el panorama del sector de la ciberseguridad en cuanto a los servicios de hacking ético? ¿Hay alguna tendencia actual en cuanto a seguridad informática?

La demanda es creciente y el panorama es positivo respecto al incremento de la implicación de los perfiles de dirección de empresas para dedicar recursos e invertir en ciberseguridad. No obstante, es complicado por la competencia existente, que hace que el mercado sea muy exigente respecto a los precios ofertados por los recursos. No hay que perder de vista que a pesar de que existen herramientas automáticas que nos ayudan en los proyectos de hacking ético aún sigue siendo muy importante la aportación manual de los técnicos que realizan este tipo de revisiones. Esos técnicos cada vez están más preparados y sus pretensiones económicas respecto a sus sueldos pretenden, con un criterio totalmente respetable, ser cada vez mejores.

Hoy por hoy, la retención del talento en las empresas que buscan compensar la oferta del mercado con disponer de un equipo altamente cualificado es el punto más crítico en los servicios de hacking y en general de ciberseguridad.

Algunas de las tendencias en seguridad informática tienen que ver con información en la nube, servicios esenciales (infraestructuras críticas), IoT, inteligencia artificial y todo lo que tiene que ver con movilidad. Este último punto es uno de los que está más en auge ya que va directamente ligado a temas de usabilidad de los propios usuarios. Cada vez más puedes realizar operativas desde tu propio Smartphone que suponen una exposición de riesgo de información personal sensible.

4.- En relación con lo que comentas, ¿es más complicado gestionar la ciberseguridad en estos dispositivos que en ordenadores?

Generalmente sí, aunque cada vez más hay una concienciación sobre el uso responsable de los dispositivos. A veces es más fácil entender que en tu Smartphone dispones de información personal altamente sensible.

A nivel de desarrollo, el mundo de las apps móviles carece del nivel de madurez que empieza a tener el mundo web, en el que en ocasiones se introduce la seguridad en fases tempranas del desarrollo o incluso en procesos de diseño.

En cualquier caso, a todos los efectos es bastante más complejo gestionar ciberseguridad en este tipo de dispositivos, que generalmente son más dependientes del factor humano (concienciación seguridad, conocimientos de los riesgos, etc..) y más difíciles de revisar.

5.- ¿Cuál es el principal reto que se presenta a la hora de gestionar la ciberseguridad en dispósitivos móviles? ¿Cómo lo gestionáis?

Existe una dependencia muy directa con el dispositivo en cuestión y en ocasiones es muy diferente realizar pruebas en un terminal IOS, Android o WindowsPhone cosa que lo hace más complicado si cabe. El grado de especialización del equipo ha de ser mayor en profundidad y en amplitud.

La forma de gestionarlo desde WISE parte de la premisa de disponer de un equipo altamente especializado pero transversal dentro de su misma área. No pretendemos tener expertos en sistemas IOS o Android, queremos tener expertos en dispositivos móviles y para ello trabajamos con formación específica e impulsando el trabajo colaborativo. En WISE el equipo es lo principal, tendemos a no ejecutar proyectos de forma aislada con un grupo de expertos aislados. Este punto requiere mucha interacción entre profesionales y un sobreesfuerzo en inculcar que para que un proyecto se ejecute con garantías lo primero son las personas que lo ejecutan, lo segundo el equipo que lo conforman y lo tercero es cómo ese equipo bien liderado consigue obtener los resultados esperados en los tiempos marcados y con el esfuerzo previamente establecido.

6.- ¿De qué tecnología os nutrís para hacer frente a las auditorías?

Básicamente nos nutrimos de herramientas internas desarrolladas por WISE y adaptadas para cada una de las tipologías de servicio que tenemos que conforman la suite Drydor

Durante los últimos años, y todavía de manera continua, venimos creando una serie muy completa de herramientas que nos permiten mejorar todos los procesos de revisión con el objetivo de maximizar eficacia y eficiencia de todo aquello que es susceptible de ser automatizado; y con ello incrementar el esfuerzo en todo aquello que requiere de aportaciones manuales de valor por parte de nuestros ingenieros.

Al final, y ligado con la evolución natural del mundo de la cibeseguridad, queremos que en WISE el equipo técnico dedique su mayor tiempo a lo que les gusta que es buscar y explotar vulnerabilidades utilizando sus skills personales.

7.- Alguna recomendación para hacer nuestros móviles más ciberseguros:

Se podrían dar muchas recomendaciones de seguridad en dispositivos móviles, pero seguramente algunas de las más relevantes tendrían que ver con el hecho de disponer de un software actualizado, protegido con antivirus y realizar copias de seguridad con cierta periodicidad. Si bien estas recomendaciones no son específicas de dispositivos móviles, no son menos importantes en estos entornos.

No obstante, si hablamos de recomendaciones específicas de este tipo de dispositivos deberíamos tener en cuenta el control de permisos sobre partes de información del propio teléfono en todo proceso de instalación además de revisar* que el origen de la App a instalar sea de un proveedor confiable.

Por último, otro punto importante es que a nivel de usuario se tenga en cuenta que disponer de un dispositivo rooteado implica mucho riesgo… Mejor no rootearlo si no se tienen conocimientos y sensibilidad en la materia suficientes.

*Los servicios DrydApps están específicamente orientados a detectar y subsanar cualesquiera de éstas, y otras, vulnerabilidades en aplicaciones móviles.