jueves, 17 de julio de 2014

Seguridad? Mi empresa no lo necesita...

Cuando hablas con la gente sobre tu profesión, una vez descartado el típico soporte técnico-gratuito, y les hablas de la seguridad les suele sonar a Chino, a ciencia ficción. La gente no llega a comprender la magnitud del problema de la seguridad en la red, y como ella puede afectar a la paz internacional, al mercado de valores, al sistema de e.commerce de tu modesta empresa o simplemente su reputación.


Son muchos los motivos por los que deberíamos preocuparnos por la seguridad, los cuales pretendo enumerar aquí para hacer reflexionar, o intentarlo, a aquellas personas que toman decisiones, que ven la seguridad " de lado" como algo curioso, o incluso a los que ven la seguridad desde el lado atacante y no desde el lado defensivo.


Es común cuando hablas con clientes el total desconocimiento en materia de SU seguridad ya que la inmensa mayoría no cuenta con sistemas que le informen del estado de su seguridad.
En otras muchas ocasiones hablas con administradores que "han heredado" tal firewall, tal appliance... y que como internet funciona, y el servidor de correo también, no han tenido la necesidad de integrar entre sus operaciones diarias.
  • Ataques automáticos. Son ataques que recibimos en nuestros sistemas que provienen de software "automático" que escanean la red por completo en busca de determinados fallos. Para este tipo de ataques de poco importa que tengas una mercería de barrio o una gran empresa.
  • Ataques por nuestros empleados. Cuando un usuario navega por internet está exponiendo a la organización. Con tan solo visitar una página puede vulnerar la seguridad de la empresa. No me refiero a páginas de hackers, o páginas porno, todos sabemos que tus empleados/compañeros no hacen eso en el trabajo... me refiero a CUALQUIER pagina que puede haber sido atacada y ser parte del proceso de infección. Como en el caso anterior, no hay que ser un gobierno o una gran empresa para sufrir este tipo de ataques.
  • Ataques por empleados descontentos. Este es un clásico. Tal y como están las relaciones laborales en España no veo tan descabellado que un ex-empleado pueda realizar alguna "trastada". Seguro que piensas que no tienes problemas con eso porque tu informático es fiel, o es tu hijo !!!! pero hoy en dia es MUY sencillo acceder a herramientas de hacking. Seguro que al contable que despediste el mes pasado no tiene un amigo "hacker"?.
  • Ataques por proveedores/clientes/competencia. Este quizás pueda ser el punto más discutido, ya que todos creemos que llevamos a cabo una práctica profesional ética, y que no tenemos deudas raras, ni problemas directos con la competencia, pero y ellos?.
  • Cibercriminales. Hay gente a lo largo del mundo que se dedica al cibercrimen, a ganar dinero ilegalmente mediante Internet. No me refiero a películas "Swordfish" y demás, aunque estos también existen, sino a miles de personas, organizadas o no, que buscan robarte el dinero. Os suena el virus de la policía? os ha tocado limpiar algún pc? imagina algo parecido como: Hemos secuestrado sus sistemas, sabemos que tiene dinero negro ( como en toda España), si quiere recuperar sus servidores debe pagar 10.000€. Yo SE que muchas empresas pagarían.
  • Hackers. Nótese la distinción que hago entre punto y el anterior. Mientras que en el anterior caso los cibercriminales buscan lucrarse con sus actividades, existe una gran comunidad de hackers, de profesionales de la seguridad que si bien no van a secuestrar tus servidores, si pueden realizar algún ataque por mera práctica profesional, por afán de conocimiento y por qué no decirlo, por hacerse un nombre en la comunidad hacker.
Sabes si ahora mismo alguien te está atacando? pondrías la mano en el fuego?

Gracias por leerme playeros !!!!.

martes, 24 de junio de 2014

Querido reclutador IT, estudia !!!

Seguro que si estás en situación de desempleo como es mi caso pasarás por muchas experiencias frustrantes a la hora de conseguir una entrevista de trabajo en condiciones, ni me refiero a un puesto de trabajo !!!.

Es curioso como las empresas tecnológicas ponen en manos de aficionados IT la selección de su personal, así van luego las cosas.


Cuando un recluiter me pregunta si tengo experiencia en Active Directory 2008 sabe de lo que habla? lo digo porque en mi cv figura que mi primera certificación en Windows Server, y por lo tanto en Active Directory, fue en 2002, y la última en 2013...aunque no ponga explícitamente que tengo experiencia en 2008, creo que se sobre-entiende...

Cuando un recluiter me pregunta si tengo experiencia en Antivirus...sabe de lo que habla? habrá leído el blog? habrá leído entre líneas mi perfil técnico? se refiere a instalar/configurar/mantener antivirus? se refiere a bypassear los antivirus? se refiere a crear medidas anti-virus?


Cuando un recluiter me pregunta sobre mis conocimientos en seguridad, habrá leído el CV? habrá pensado que en 1995 seguramente EL no tenía Internet ni sabía que era, y que yo ya andaba troleando los salones de IRC con los típicos fllood, nukes, con-con y demás?

Cuando un recluiter me pregunta sobre mis conocimientos de Sql Server 2012, no habrá leído que mi primera experiencia administrando Sql Serer fue en el 7, y que no he parado de trabajarlo? Lo mismo para Exchange, Sharepoint y demás...

Cuando un recluiter me pregunta sobre mis conocimientos sobre almacenamiento, no habrá leído por supuesto mis artículos sobre almacenamiento? no habrá leido mi experiencia con cabinas IBM? no habrá leído mis conocimientos sobre ISCSI, FbChannel,Freenas, MPIO?


Claro, yo entiendo que cuando eres de Murcia, y has trabajado para las mejores empresas de tu cuidad, con grandes volúmenes de facturación, pero sin un nombre reconocido a nivel nacional, es como si hubieras trabajado en el "chino" de tu barrio.

El reclutador no tiene ningún interés en saber el uptime que has tenido en tus sistemas, la ausencia de caídas reseñables, o la reducción de gasto en el departamento IT por tus gestiones, y no la típica gestión de presupuestos y talonarios...


Yo siempre enfatizo en mis entrevistas mi capacidad de superación y sobre todo, mi actitud.
Cuando programé mi primer script con 10 años y un Spectrum 48k con cinta externa no había Internet, ni existía Sql Server 2014.
Cuando hackeaba lineas telefónicas RAS con devolución de llamada para no gastar en conexión a Internet (saludos Arrakis) no existía Metasploit.
Cuando apareció Windows 2000 y la revolución Active Directory, nadie sabía sobre Windows 2012 !!!
Mi mayor valía en el mundo de la informática es mi capacidad para aprender y reciclarme. Ser un apasionado de tu trabajo es lo que tiene !!!! Que mier** importa no conocer la última versión del producto de moda?o qué importa no tener más de 6 meses de experiencia en un producto que lleva 1 año en el mercado con escasa implementación?


Es lógico, el mercado de la informática ahora mismo se puede comparar con unas olimpiadas.
Yo me considero un deportista nato, porque tengo una buena media corriendo, saltando, lanzando, jugando, etc. Las empresas no quieren un deportista, quieren un corredor, nadador, saltador, etc. NO importa que seas un administrador de sistemas Windows y NO TENGAS NI IDEA de seguridad. O al revés !!! que vayas a trabajar como Security pero no tengas ni idea de como funciona una BBDD. Que vayas a trabajar con virtualización Hyper-V pero no tengas ni idea de otras plataformas...

Las empresas quieren especialización. Perfecto. A qué precio?.
Quieres que trabaje en Madrid por lo que cobra, con todos mis respetos, mi mujer trabajando de panadera?
Quieres que trabaje en Madrid por lo que cobra una administrativa?

El tema del Inglés es otra cosa que me crispa del carajo !!!!
Llevo 20 años estudiando informática. Quizás mas !!! Tengo que reconocer que mi acento anglosajón es equiparable a mi acento murciano ( acho-pijo !!) . Creo que si una empresa opta por contar con mis servicios profesionales, podría darme la oportunidad. En el caso de necesitar el Inglés para el trabajo, no tardaría mas de 3 meses en obtener esas certificaciones que piden, pero realmente no me interesa invertir mi tiempo ahora mismo en ello, for free, ya que hay cientos, miles de áreas dentro de mi trabajo, la informática, que considero mas interesantes.
Quedaros con el que habla estupendamente inglés, pero que le quedan 20 años de experiencia informática.

Lo que no entienden estas empresas es que están contaminando el sector con "profesionales" sin experiencia ni conocimientos o muy pocos que repercuten directamente en la rentabilidad de sus operaciones.


Yo entiendo que para administrar profesionalmente una BBDD Oracle necesites una persona dedicada al completo a ello, pero hay casos en los que contar con CONOCIMIENTOS en varios SGDB puede aportar un valor añadido a sus proyectos, aunque se sigan realizando en Oracle.

En un año y medio de paro que llevo he realizado bastantes entrevista de trabajo. En la gran mayoría de casos he salido de la entrevista con la sensación por completo de que no era yo el trabajador, pero sobre todo, con que ha aprendido más el reclutador que yo de los temas tratados.

Incluso ha habido casos en los que me han pedido hackear una web porque hablaba más de su CEO... y queréis que represente a una empresa así? No tenéis ni idea de lo que significa Hacking ético ni seguridad informática.

Si estás en situación de desempleo como me encuentro yo, siento mucho que tengas que pasar por todo esto. Seguro que te ves reflejado con mis palabras.

Si eres un reclutador de esos que se llaman "especialistas IT" procura hacer tu trabajo de la mejor manera. Investiga el CV, busca en wikipedia lo que no sepas. Consulta con otros profesionales del sector. Si no haces todo esto, estás haciendo MAL tu trabajo, y las consecuencias no son solo para la empresa que representas, sino para todas las PERSONAS a las que ni tan siquiera consideras por tu incompetencia.

Te apetece contar tus experiencias buscando trabajo?

sábado, 7 de junio de 2014

Mi colección favorita de libros sobre Hacking & Sistemas.

Actualizado Constantemente.
Hoy se me ha ocurrido la "brillante idea" de compartir con vosotros los últimos libros que me he leído, que tengo a medio, o que me voy a leer en estos meses.

A pesar de que he incluido algún clásico, todos los libros son medianamente "actuales". Posterior a 2008 por lo general.

Para hacerlo más atractivo, os pongo las imágenes de las portadas.













Como siempre, gracias por leerme, espero que os gusten estos libros y que comentéis vuestros títulos favoritos.


Google + Google +
Related Posts Plugin for WordPress, Blogger...