Nº 123 Febrero 2017

El consumo de contenidos audiovisuales, incluso desde terminales móviles, supera al de información escrita, en especial en las generaciones más jóvenes. Nuestra comunidad profesional no es un caso aparte. ¿Cómo podemos entonces animar a jóvenes colegas al estudio de complejos aspectos técnicos de la seguridad? Una posibilidad es a través de inspiradores vídeos relacionados con la seguridad. Quizás no dispongamos de un abultado presupuesto parar enviar a todos nuestros colegas “junior” a las conferencias de seguridad más renombradas que se organizan cerca de nosotros. Sin embargo, sí que podemos organizar el visionado de alguna conferencia actual y conmovedora que impacte a nuestros compañeros más ávidos de conocimiento.

Nº 122 Noviembre 2016

La aparición de nuevas propuestas tecnológicas es algo habitual. Algunas de ellas llegan acompañadas de grandes promesas sobre cómo cambiará el mundo con su implementación. Acertar en la velocidad y extensión del cambio que estos nuevos inventos provocan en la sociedad no es tarea fácil. En especial cuando contienen elementos complejos como es la criptografía y la programación distribuida.

Nº 121 Septiembre 2016

El sitio personal de Emir Gün Sirer, hacker y profesor de la Universidad de Cornell es un blog con profundas reflexiones sobre sistemas distribuidos de todo tipo. Publica varios artículos cada mes. Este académico es también activo en Twitter bajo el inconfundible nombre de “el33th4xor”, con cerca de 10.000 seguidores. Me acerco a su trabajo como claro ejemplo del papel cada vez más fundamental que hoy en día tiene la programación en la carrera académica y profesional de los tecnólogos.

Nº 120 Junio 2016

Securosis es una boutique de seguridad especializada en investigación y análisis. Algo así como un “Gartner” exclusivamente dedicado al análisis de tecnologías de la seguridad de la información. Los dos primeros líderes de esta compañía son Rich Mogull (Analista y CEO de la compañía) y Mike Rothman (Analista y su Presidente). Junto a otros ocho profesionales del sector, el modelo de negocio que utilizan es muy útil para el lector de este tipo de sitios: proporcionan una extensa biblioteca de conocimiento de forma gratuita como excelente tarjeta de visita para ser contratados por compañías que requieren servicios personalizados de seguridad en sistemas de información.

Nº 118 Febrero 2016

En esta ocasión presento “The financial brand”, un sitio de noticias, marketing e informes relacionados con el sector financiero. Una dirección útil parar entrever las tendencias tecnológicas en la banca de este nuevo siglo. Supe de esta web gracias a la presencia en twitter de un gran profesional de la seguridad y amigo como es Luis Saiz (http://twitter.com/lsaiz). Recomiendo a todos aquellos interesados en la innovación en seguridad de la información que sigan sus “tweets”.

Nº 117 Noviembre 2015

Este sitio personal de un profesional de las Tecnologías de la Información y de su seguridad me llamó la atención por la actualidad de sus artículos. Desde Australia, Troy Hunt está vinculado al programa de desarrolladores de seguridad de Microsoft y elabora cursos relacionados con el desarrollo seguro en Pluralsight. También es un conferenciante habitual en el circuito de conferencias de seguridad. Desde 2009 publica regularmente, varias veces cada mes, su visión sobre distintos temas relacionados con nuestro campo.

Nº 116 Septiembre 2015

Un elemento ya tradicional en la presencia en Internet de compañías de seguridad es ofrecer un blog con artículos actuales de interés. Este es el caso de tres jugadores internacionales, relativamente nuevos en este sector, que conjugan tecnología con servicios de inteligencia: “FireEye”, “Norse” y “Blueliv”.

Nº 115 Junio 2015

Al acercarnos a la época estival, quizás el lector tenga la posibilidad de ralentizar su ritmo profesional diario y reflexionar algo más sobre estrategias de seguridad. Por ello, dedico esta columna a la elegante presencia web de Lares, una compañía de seguridad en la que encontramos a dos conocidos profesionales del sector: Chris Nickerson, su fundador, y Eric M. Smith. Ambos han hecho interesantes aportaciones al mundo de la seguridad.

Nº 114 ABRIL 2015

Desde que el ser humano vive en comunidad, las amenazas que pueden afectar a su grupo son un elemento importante de la información que comunica a sus semejantes. Así se logra una mayor preparación frente a esos posibles riesgos y, si ocurren, la posibilidad de reacción es más rápida y efectiva. Actualmente, en Internet, sucede de modo similar: un ejemplo, www.openioc.org presenta una forma automática de compartir información sobre amenazas reales en Internet.

Nº 113 FEBRERO 2015

Internet ha facilitado en muchas ocasiones que un mercado ya existente se beneficie de nuevos modelos de negocio. Este ha sido el caso del análisis de vulnerabilidades en software. Por un lado, toda aplicación, todo programa contiene errores. Algunos de esos errores pueden ser explotados por agentes malintencionados, ya sean individuos o grupos, más o menos profesionales. La tarea de localizar esos errores no es banal. Muchos proveedores de software carecen del músculo suficiente para establecer un programa serio de detección de errores con recursos internos.

Nº 112 NOVIEMBRE 2014

En épocas anteriores, los gremios regulaban el ejercicio de los oficios. Securityerrata.org, una iniciativa del grupo de voluntarios que publica attrition.org, tiene como objetivo la protección del oficio de la seguridad informática. De una forma casi irreverente publican eventos que, o bien están cargados de ironía (por ejemplo, una compañía de seguridad que promete el santo grial con sus productos y que, curiosamente, es exitosamente atacada), o bien son ejemplos de “vendedores de motos” que no son reales y que acaban perjudicando a nuestra profesión.

Nº111 SEPTIEMBRE 2014

Las actividades profesionales que llevamos a cabo dentro de la empresa que nos emplea, sea o no nuestra, pueden, y deben, beneficiarse del resto de actividades relacionadas con la seguridad que realizamos fuera de ella. Los dos sitios que presento en este número de SIC lo confirman. Los autores de ambos son nombres conocidos en la comunidad de profesionales de la seguridad lógica en Europa: los belgas Didier Stevens y Xavier Mertens.

Nº110 JUNIO 2014

Casi todas las semanas en algún lugar del mundo hay alguna conferencia o presentación relevante relacionada con nuestra profesión. Como no es posible asistir a la mayoría de estas citas y, en ocasiones, desconocemos si ofrecen la mínima calidad requerida, un sitio web que publique los contenidos de estos eventos cuando alcancen un nivel aceptable de calidad nos proporcionaría gran valor.

Nº 109 ABRIL 2014

El concepto de Recursos Humanos 2.0 en el mundo laboral actual revoluciona la relación entre la empresa y el profesional. El contrato de trabajo indefinido deja paso a las colaboraciones: relaciones mucho más variadas y adaptadas a cada necesidad. En este contexto, la creación y mantenimiento de una marca personal y profesional se convierte en un valor diferenciador. El mundo de la seguridad también vive este cambio. Buen ejemplo de ello lo constituyen dos sitios web: krebsonsecurity.com de Brian Krebs, antiguo reportero del Washington Post, y grahamcluley.com, desarrollador de productos antivirus en los años noventa.

Nº 108 FEBRERO 2014

2013 fue el año en el que el espionaje saltó a las portadas de los periódicos. La capacidad tecnológica para realizar tales acciones jamás ha sido tan potente como en la actualidad. La otra cara de la moneda, menos oculta e, inicialmente, más inofensiva, es la recopilación, usando fuentes públicas de información, también llamada inteligencia, relacionada con una persona o entidad en concreto, conocida por el acrónimo en inglés OSINT (“Open Source Intelligence”).

Nº 107 NOVIEMBRE 2013

En los tiempos que corren, la opción de renunciar a la nómina y emprender una aventura empresarial con nuestra propia marca, dentro del campo de la Seguridad de la Información, aparece en los planes de muchos profesionales; bien como elección meditada o bien como “última alternativa” antes de “verse forzados” a abandonar el sector y probar suerte en otros temas de tecnologías de la información más generalistas.

Nº 106 SEPTIEMBRE 2013

La versión en español de Wikipedia nos recuerda que, en la antigua Grecia, el Ágora era el lugar de encuentro, un espacio abierto, el centro del comercio, la cultura y la política de la vida social. La sección que reddit.com dedica a la seguridad en tecnologías de la información, llamada /r/netsec, es el Ágora de nuestra profesión. El lugar a visitar para estar al tanto de la escena mundial, políticamente correcta e incorrecta, de la seguridad.

Nº 105 JUNIO 2013

La comunidad de profesionales de la seguridad de la información en países emergentes merece también un espacio en esta sección. El autor del blog que recomiendo en esta ocasión, wftuzz.com, es de India y se llama Rishi Narang. En Twitter se define como consultor, autor e investigador en ciberpsicología y en ciberinteligencia.

Nº 104 ABRIL 2013

Este sitio es el blog personal de Chris Hoff, un conocido arquitecto de seguridad que actualmente trabaja en Juniper. Un vistazo en LinkedIn a su trayectoria profesional en puestos técnicos relacionados con la gestión segura de redes en compañías como Cisco, Unisys o Qualys confirma el valor de las sugerencias que escribe en rationalsurvivability.

Nº 103 FEBRERO 2013

Makingsecuritymeasurable es una iniciativa de la organización norteamericana sin ánimo de lucro MITRE. Es un sitio web de fácil navegación con enlaces a iniciativas de estandarización en 15 aspectos de seguridad, estrechamente relacionados entre sí. Recomiendo esta visita para conocer las actuales propuestas de mecanismos de descripción de eventos de seguridad y de intercambio de información.

Nº 102 NOVIEMBRE 2012

datalossdb.org es un proyecto abierto en Internet por la “Open Security Foundation” con el objetivo de recopilar y publicar pérdidas de datos personales. Su origen se remonta a 2008, cuando David Shettler y compañía se hicieron cargo de la base de datos que mantenía el popular sitio attrition.org. “Open Security Foundation” es también conocida por su base de datos de vulnerabilidades (http://osvdb.org).

Nº 101 SEPTIEMBRE 2012

En este cuarto número de SIC para 2012 no presento un blog fruto de una idea personal sino un sitio creado por una institución europea: la página web del equipo de respuesta a incidentes de seguridad de la Comisión Europea. CERT-EU comenzó su andadura en 2010. En sus páginas se presenta un resumen de noticias recientes relacionadas con la seguridad, en especial con incidentes y vulnerabilidades.

Nº 100. JUNIO 2012

Para este número tan especial de SIC, en lugar de comentar un sitio web concreto, propongo imaginar cómo será el sitio web ideal de seguridad de los próximos cinco años. He elegido el título de “seguridad transparente” porque la transparencia será uno de los valores que, como sociedad, tendremos que aumentar y cuidar en nuestras instituciones, empresas, comunidades y, consecuentemente, también en su seguridad.

Nº 99. ABRIL 2012

En este segundo número de SIC en 2012 presento un blog que, sin el patrocinio de ninguna compañía, ofrece valor a nuestra comunidad con comentarios, enlaces a software y contenido relacionado con Internet y la seguridad: pentestit.com.

Nº 98. FEBRERO 2012

Comienzo 2012 con el sitio web británico securityninja.co.uk. Inició su andadura en el año 2008 y la publicación periódica de artículos en 2009. Su creador, David Rook, es un especialista en seguridad que trabaja en Dublín en la compañía “Realtex payments”, un negocio especializado en pagos en línea. Desde 2011, Realtex patrocina las páginas de securityninja. Hay incluso un enlace directo a este sitio desde la web corporativa de Realtex.

Nº 97. DICIEMBRE 2011

En esta ocasión recomiendo la visita de un sitio web creado y elaborado por Lenny Zeltser. Lenny no sólo es uno de los pocos profesionales de la seguridad que posee la certificación, altamente técnica, GSE de SANS, sino que también es MBA por la Universidad MIT Sloan. Ambos ingredientes son la clave de una valiosa mezcla de conocimientos de seguridad y de gestión en su sitio web zeltser.com y, especialmente, en su blog (localizado en blog.zeltser.com).

Nº 96. SEPTIEMBRE 2011

En esta ocasión he seleccionado un sitio web de recursos y opiniones de seguridad. Su nombre es infosecisland.com. Fue inaugurado en marzo de 2009. Desde su creación, en las páginas de esta web aparecen artículos de conocidos profesionales de la seguridad como Rafal Los o Anton Chuvakin. Su lectura es muy recomendable: nos puede ayudar a tratar con éxito alguno de los asuntos más actuales en seguridad.

Nº 95. JUNIO 2011

Securitywizardry se presenta en su página principal como un portal gratuito sobre seguridad de la información. Su propietaria es la compañía de seguridad británica Computer Network Defence (CND). CND ofrece servicios de consultoría y de búsqueda y contratación de profesionales de seguridad de la información. En relación con esto último, este sitio publica la descripción de múltiples puestos de seguridad en su sección de perfiles ("security roles defined"). Estos textos resultan útiles a la hora de definir el contenido de una vacante de seguridad. Se encuentran dentro del menú CND, visible en la parte superior de su portada.