Mi experiencia como ponente en CyberCamp18

Aunque el año 2.007 fue un «no parar» en cuanto a esto de dar charlas y talleres tras ganar la Imagine Cup de Microsoft, desde entonces no había tenido la oportunidad de volver a subirme en un escenario para contar cosas.

En estos últimos años, entre formación, autoempleo, autoría de libros, desarrollo de ideas, docencia, consultoría, … y ser padre, se me complicó un poco sacar tiempo.

Sin embargo, tras cumplir el sueño de ser profesor, me apetecía mucho volver a tener los nervios de dar una charla, de dedicar tiempo a montar un taller en el que contar cosas que hago y he ido aprendiendo con la experiencia.

Sin embargo, meter la cabeza en un congreso no es nada sencillo. Hay que apuntarse al CFP (Call For Papers) y enviar lo que tienes en mente. Detallar en qué va a consistir, de qué vas a hablar y tratar de convencer a la organización del evento de que tu propuesta puede aportar valor a la audiencia.

Para que te hagas una idea, me he presentado a 8 congresos antes de conseguir que me aceptaran la primera ponencia. Mi «rebautismo» dando charlas ha sido el evento CyberCamp18.

En esta ocasión lancé un órdago al CFP y me presenté a las tres categorías posibles:

  • Ponencia tecnológica: propuse hablar de mi proyecto personal DefenderEye. Quería contar los motivos que me hicieron desarrollar la herramienta, para qué sirve y mostrar desde dentro cómo funciona (detallando código, infra, …).
  • Charla motivacional: propuse una charla en la que contar cómo iniciarse en el mundo de la seguridad, la formación disponible, certificaciones, tipos de perfiles laborales y, sobre todo, consejos basados en mi experiencia como gestor de equipos de seguridad y mi relación con RRHH en cuanto a búsqueda de perfiles. Todo, desde un punto de vista de mucho humor.
  • Taller técnico: propuse un taller en el que describir los principales servicios de AWS junto con las «best practices»a tener en cuenta para tener lo más seguro posible nuestro entorno.

Tras semanas de espera, me llegaron tres correos a la vez en la que se me comunicaba que no había sido elegido para las dos primeras opciones. Cuando abrí el tercero ya estaba resignado a que, un año más, no había conseguido el objetivo.

Sin embargo, en esta ocasión, el texto era diferente:

Una vez superada la emoción inicial, vienen los nervios… ¿soy capaz de estar dos horas hablando? ¿Me quedaré corto? ¿Me pasaré de tiempo?

Inicialmente hice una lista de todo lo que consideraba que debía contar, el cálculo de tiempo me daba… casi cinco horas. Mal empezamos…

Tras refinar, quitar y pulir temario, lo dejé en tres horas. Seguía sin valer.

Finalmente, tras muchas revisiones y el doloroso proceso de quitar cosas que sientes que tendrían que estar, conseguí clavar las 2 horas oficiales.

El resultado lo tenéis aquí, espero que os guste!

¿Y la experiencia, qué tal? Pues la verdad es que estupenda. La sensación de volver a subirme a un escenario y de tener de nuevo a un grupo de personas con ganas de escuchar lo que vienes a contar es realmente maravillosa.

No puedo más que dar las gracias al público que asistió al taller, todos mostraron interés en lo que le estaba contando y me lanzaron preguntas que denotaban que les estaba aportando valor, así que considero el objetivo cumplido.

Por otra parte, la organización de Incibe se portaron de 10. Trato amable, preocupación en todo momento por lo que pudiera necesitar y siempre con una gran sonrisa. Se nota que hablamos de un evento organizado desde la ilusión y las ganas de hacer algo interesante.

Sin mucho más que contar, me despido. Por mi parte, trataré de estar en CyberCamp19 y volver a formar parte de un evento tan importante como este.

Saludos!

¡Hola Accenture! (… ¡y gracias Dive!)

Han sido unos meses complicados, supongo que os habréis dado cuenta de que el blog ha estado un poco abandonado. En general, todo ha estado en pausa propiciado por grandes cambios en mi vida laboral. Por partes:

Hace varios meses salí de Dive. La experiencia ha sido maravillosa y los compañeros… es que no puedo dejar de echar de menos a gente tan (pero tan, tan) buena. Nunca había trabajado con gente con un potencial tan alto en lo profesional y en lo personal. Siempre echaré de menos las charlas tecnológicas y esas salidas a comer con el equipo. Chavales, os habéis ganado un trocito de mi memoria y corazón, os deseo el mejor de los futuros. Ojalá nos volvamos a encontrar, sería la leche trabajar juntos de nuevo.

Tras varios años siendo el responsable de seguridad de la startup, el momento de cambiar de aires llegó y me pareció genial buscar algo diferente. Lo pensé bien y me puse a hacer una lista:

  • Cinco años en una pequeña consultora.
  • Tres años como freelance.
  • Tres años en una startup.
  • Varias experiencias docentes que me han llevado a ser Profesor de Máster.

¿Siguiente parada? El cuerpo me pedía una gran empresa, conocer el mundo de los proyectos a gran escala, del día a día en un monstruo en el que todo se hace de una forma muy diferente a lo que he estado haciendo hasta ahora. Me puse «disponible» y me llegaron opciones de EY, Deloitte, Telefónica, Indra… pero finalmente mi nuevo rumbo ha sido Accenture.

¿El motivo? Accenture España está en proceso de montar algo grande en seguridad. Se trata de una unidad de negocio con vida propia al nivel de Operations o Consulting. Se está apostando por lo que ellos denominan «The New» y que, básicamente, engloba a Digital, Cloud y Security. Es un reto apasionante ayudar a crecer esta nueva pata y ser parte de todo este proceso de transformación y crecimiento.

Después de cuatro entrevistas y una prueba de inglés, finalmente me llegó una propuesta de incorporación y dí el «sí, quiero».

Mi nueva oficina

Así que nada, aquí estoy, Manager en Accenture Security relacionado con proyectos cloud. Tras mis primeras semanas, la verdad, muy contento. No os voy a mentir, un poco perdido ya que la forma de trabajar en un sitio así de grande conlleva una fase de aprendizaje compleja, pero con toda la ilusión y energía que los que me conocéis sabéis que pongo en todo lo que hago.

Mi intención es seguir contando por aquí todo lo que aprendo, retomar las tareas relativas a Defender Eye y seguir aportando mi granito de arena a difundir cultura de seguridad.

¡Estamos en contacto!

SecurityInside Live: Jornada Internacional de Seguridad de la Información (ISMS Forum)

Hoy asisto por primera vez a las Jornadas Internacionales de Seguridad de la Información que organiza el ISMS Forum Spain. Para el que no lo conozca, decir que es una red abierta de conocimiento que conecta empresas, organismos públicos y privados, investigadores y profesionales comprometidos con el desarrollo de la Seguridad de la Información en España. Ya son más de 150 empresas y más de 850 profesionales asociados.

Leer más

SecurityInside Live: Mundo Hacker Day 2018

Al igual que el año pasado, me voy al evento «Mundo Hacker Day 2018» para asistir en primera persona a las interesantes charlas que grandes expertos en seguridad van a ofrecer.

Leer más

«Application Security» con Microsoft SDL

El otro día estaba en una entrevista de trabajo en el que me preguntaban si tenía experiencia en metodologías de desarrollo seguro de software. Tras salir de allí pensé que nunca había escrito por aquí sobre ese tema y es algo que me costó encontrar cuando me quise enfrentar al reto de asimilarlo. Es por eso que os traigo la primera de varias entradas, ¡espero que os gusten!

Cuando trabajas como responsable de seguridad, participar en los procesos de desarrollo de software es una de las tareas en las que tienes que dar lo máximo.

Como es lógico, las aplicaciones estarán expuestas a todo tipo de usuario. Puede que sean para uso interno (limitando un poco la exposición) o pueden estar abiertas al mundo, pero siempre serán un objetivo para los fallos «espontáneos» o «buscados» de seguridad.

En la forma de trabajo que hemos tenido hasta «hace cuatro días», se desarrollaba siguiendo un modelo Waterfall, el que se daba (se sigue dando?) en la Universidad en la que todo tenía una secuencia inalterable basada en:

  • Toma de requisitos
  • Diseño
  • Desarrollo
  • Pruebas
  • Mantenimiento (tras lanzamiento)

Todo muy encorsetado, siendo complicado arreglar ciertos problemas o añadir nuevos requisitos sobre la marcha. Es cierto que se logra una mejora al añadir la implementación de prototipos, lo que podría verse como un leve precursor del modelo agile.

En cualquier caso, utilizar este modelo ha llevado en muchas ocasiones a algo parecido al extreme programming donde se termina por lanzar a la papelera el diseño y los requisitos para realizar desarrollos inmersos en un éxtasis de locura, infinidad de horas y mucho café.

El problema de este tipo de forma de trabajar es que da lugar a todo tipo de fallos de seguridad, sobre todo en viejos modelos de pruebas de seguridad «binarios», lo que se traduce en «si da tiempo hago alguna prueba y si no…, pues no».

Como podrás entender, en un mundo en el que cada vez hay más tecnología, en el que todo está conectado y en el que los problemas de seguridad pueden arruinar literalmente negocios y grandes empresas, esa forma de desarrollar ya no es viable.

Microsoft y la seguridad

La multinacional de Redmond archiconocida por el sistema operativo Windows, desde hace años colabora de forma sistemática con gobiernos y organizaciones en la búsqueda de las mejores prácticas en materia de ciberseguridad.

Una muestra de esto es su definición del ciclo de vida de desarrollo seguro, más conocido como Microsoft SDL, que se estableció internamente para todos los desarrollos desde el año 2.004.

Como ejemplo, podemos ver cómo los productos Microsoft han mejorado sustancialmente con respecto a los fallos graves de seguridad detectados antes y después de la puesta en práctica del modelo.

Figura 1 – Boletines de seguridad importantes y críticos de Windows antes y después del SDL

Figura 2 – Boletines de seguridad de SQL Server 2000 antes y después del SDL

Figura 3 – Boletines de seguridad para Exchange Server 2000 antes y después del SDL

Introducción a Microsoft SDL

La metodología que nos presenta Microsoft SDL se basa en tres conceptos principales que tendremos que tener siempre en cuenta:

Formación: todos los roles tanto técnicos como de gestión dentro de un proyecto deben estar debidamente formados en seguridad. Puesto que cada día aparecen nuevas vulnerabilidades y nuevos ataques, la formación debe ser continua en el tiempo y de la mejor calidad posible.

Mejora continua: es importante comprender la causa y el efecto de cada vulnerabilidad para evaluar de forma periódica todos los procesos, así podremos implementar los cambios que sean necesarios.

Responsabilidad: será muy importante archivar toda la información necesaria para realizar el mantenimiento de una aplicación cuando aparezcan los problemas. Tener un plan de detección y respuesta ante incidentes de seguridad nos permitirá poner en movimiento a todas las partes implicadas en el mismo.

Es por eso que el modelo de Microsoft SDL se estructura en cinco áreas de capacidades alineadas con las fases clásicas de desarrollo de software:

  • Formación, directivas y capacidades organizativas
  • Requisitos y diseño
  • Implementación
  • Comprobación
  • Lanzamiento y respuesta

Con el paso del tiempo y la creciente utilización de metodologías ágiles, Microsoft ha implementado una versión especial del SDL para este tipo de forma de desarrollar. Dicho modelo lo iremos viendo en las próximas entradas.

¿Te lo vas a perder?