www.hakin9.org
77
F.B.: ISSA-España podría englobarse en dos puntos, por una parte es una asociación sin animo de lucro y por otra es una asociación que aglutina a los profesionales del sector, por ello estamos ante dos planteamientos similares pero no excluyentes uno de otro. En cuanto al funcionamiento interno, somos una organización con una estructura básicamente plana, donde existe (a mi apreciación, quizás pueda ser mejorable) una excelente interacción entre asociados y la junta directiva.
El ámbito de actuación de ISSA-España, al igual que su orientación, puede enclavarse en dos ejes principa- les, por una parte nos encontraríamos con la concien- ciación y estudio de diferentes ámbitos y escenarios de la seguridad. Y por otra, la formación continua y net- working de nuestros asociados, ya que por el momento contamos con medios de comunicación bastante fluidos entre ellos, pero estamos desarrollando nuevas vías y métodos de intercorrelación entre los asociados, para que exista un mayor eje de debate y comunicación entre ellos y sus áreas de interés.
Nuestra asociación no esta formalmente relacionada con una certificación profesional como otras asociacio- nes similares, aunque en nuestras acciones se encuen- tra la certificación dentro de estas, dado que la actual tendencia de mercado es la solicitud de ellas para los distintos puestos dentro de las áreas de seguridad y en los distintos proyectos que aparecen en el mercado.
Nuestra política de eventos se ha modificado un poco con respecto a años anteriores, pero nos centramos en distintas áreas. Las cuales podríamos englobar en tres tipos distintos:
Eventos de difusión, como los organizados dentro del DISI (Día Internacional de la Seguridad de Información) o en INFOSECURITY, eventos de claro contenido de difusión y concienciación dentro de distintas áreas, enfo- cados a todas las áreas y sectores, con un especial foco
en los responsables de seguridad de organizaciones y empresas.
Eventos de formación propios. En esta área comenzamos en este año y prevemos presentar en breve un calendario de eventos de formación esponsorizados por ISSA-España orientados a sus miembros y con acceso a terceros.
Eventos de formación de terceros. Eventos de forma- ción facilitados por terceras empresas en los cuales los miembros de ISSA-España tienen interesantes ventajas.
h9: ¿En el mundo de la Seguridad Informática hay mucha demanda de eventos de este tipo? Principal- mente,¿quién participa en ellos?
F.B.: Actualmente existen diferentes programas de formación, pero basados básicamente en programas de postgrado o bien en certificaciones profesionales, así como eventos puntuales independientes u organizados por fabricantes.
Pero bien, es cierto que el mercado demanda cada vez mas eventos de formación e información cada vez mas profesionalizados.
En la actualidad tenemos básicamente tres tipos de perfiles de asistentes a los eventos de seguridad, en pri- mer lugar nos encontramos con personal de dirección y ejecutivo que buscan conocer de primera mano los últi- mos adelantos en la materia, las nuevas amenazas y sus soluciones, un público exigente en cuanto a la calidad de la información facilitada y con un enfoque puro de negocio. En segundo lugar nos encontramos a personal de departamentos de TI que persiguen vías de mejora en sus procesos y desarrollos, con un perfil técnico elevado, con problemas y cuestiones concretas, y en tercer lugar nos encontramos a personas que están trabajando en el área de las TI, pero sin dedicación al área de seguridad y estudiantes que buscan ampliar sus conocimientos los cuales demandan conocimiento y muchas veces un foro donde discutir sus ideas.
Entrevista
h9: ¿ISSA-España coopera también con otras orga- nizaciones españolas que actúan dentro del campo de la seguridad informática?
F.B.: ISSA-España colabora con distintas asociacio- nes y entidades en la búsqueda de la mejora del campo de la seguridad, nuestra colaboración comprende desde el simple soporte y ayuda en el desarrollo de la segu- ridad en todos los ámbitos a la creación de comisiones y mesas de trabajo sobre problemáticas concretas, no cerramos nunca las puertas a colaboraciones e iniciati- vas encaminadas dentro del área de la seguridad.
Nuestro afán como asociación profesional, busca también la colaboración con otras asociaciones similares y buscamos siempre que estas sean de beneficio tanto pa- ra nuestros asociados como para el público en general.
h9: ¿Podría contarnos algo sobre los planos de IS- SA-España para el año 2007? ¿Cuáles van a ser sus iniciativas más importantes? ¿Qué objetivos se han mar- cado a alcanzar?
F.B.: En Diciciembre del año pasado, abordé la presi- dencia de ISSA-España con un programa claro y para mi de obligado cumplimiento, con en el cual se pretende que la asociación tenga un papel más activo dentro de la comu- nidad de la seguridad informática, con proyectos de forma- ción, desarrollo y concienciación que iremos desarrollando a lo largo de este año, sin descuidar en ningún momento las demás labores de la asociación, como el networking (el cual es muy necesario en esta actividad, dado que no somos muchos los actores involucrados y opino que de- bemos tener un espacio mutuo de relación), las relaciones con los demás capítulos internacionales, dado que ello nos aportará otros puntos de vista a los problemas que actual- mente sufrimos en nuestro área a nivel nacional, y sobre todo tener un punto común de conexión entre aquellos que trabajamos, estudiamos e investigamos en este área.
Como iniciativa más importante en este momento estamos planteando la creación de una mesa de tra- bajo entre los profesionales de un sector específico, para juntar en una misma mesa a diferentes partes y enfocar los problemas de ese sector, iniciativa que pensamos abordar con distintos sectores de la indus- tria y economía.
h9: ¿En su opinión hoy en día hay más asociaciones que reúnen a hackers, en el sentido tradicional de esta palabra, o asociaciones del tipo de ISSA? ¿Cuál es la relación entre ellas? ¿Son dos mundos diferentes o más bien realidades que se entrelazan?
F.B.: Es evidente que buscado en el underground nos encontramos con muchos grupos hackers, pero no los veo como grupos asociativos como puede ser ISSA-España, sino que mas bien son núcleos de gente con inquietudes similares que se reúnen para intercam- biar conocimiento, numéricamente evidentemente son mucho más numerosas que las asociaciones de profe- sionales de la seguridad informática (aunque muchos de los anteriores acaban recalando en asociaciones profesionales).
Bajo mi punto de vista todos somos hackers, pues nos puede la investigación y la curiosidad en muchos as- pectos, evidentemente son numerosas las denominadas asociaciones o grupos hacker, pero se han de diferenciar de aquellos grupos que buscan aspectos lucrativos por la vía maliciosa.
Evidentemente las barreras entre el mundo de la se- guridad informática y el uso de los conocimientos para la comisión de delitos es muy marcada. Claro está que el profesional ha de gestionar la seguridad de los sistemas y para ello evidentemente ha de conocer sus amenazas y riesgos, ¿si no qué gestionaría? Si estuviésemos en un mundo perfecto, no sería necesario el uso de sistemas de protección, yo calificaría siempre que son mundos super- puestos, en los que los maliciosos han cruzado una línea ética y moral de difícil vuelta atrás, que en ocasiones les puede lastrar y ocasionar problemas, y otros que usamos los conocimientos para un bien y beneficio común.
No obstante, hoy en día a mi opinión se ha de hablar de mafias del cibercrimen cuando nos referimos a ame- nazas altamente peligrosas. La gente con ética y moral no traspasa la barrera.
h9: ¿Usted mismo en algún momento de su vida se consideraba hacker? ¿Cree Usted que la magia de ser hacker es muy fuerte entre los profesionales de seguri- dad informática? Hay muchos profesionales que guardan el espíritu del hacker durante toda la vida o en general es una aventura de juventud?
F.B.: Quien diga que no que levante la mano, pero no creo que NADIE en algún momento haya tenido su mo- mento de hacker en mayor o menor medida, pero siempre ha sentido curiosidad por algo y lo ha investigado, si no difícilmente puede tener el pensamiento y la capacidad necesaria para determinar un grado de seguridad.
Para mi opinión la denominación hacker hace más re- ferencia a una forma de pensar y a una visión, no es un pa- trón de acción malicioso por necesidad, sino una forma y actitud frente al conocimiento, que no ha de ser peyorativo ni de una actitud ilegal. Realmente creo que con el tiempo vas teniendo otras perspectivas, pero siempre prevalece ese espíritu (necesario en los que administran y revisan la seguridad) de conocer más allá de los límites preestable- cidos y pensar como tu posible contrincante.
Mal comparado esto es como el ajedrez, tienes que adivinar el movimiento del contrario. Es por ello por lo que siempre un profesional perfecto de este área ha de estar actualizado y disponer de una visión en muchos casos de 360º, ya que ha de conocer a que se enfrenta y cuales son las posibles amenazas que ha de gestionar.
Por desgracia muchas veces esa focalización es imposible, por lo cual nunca puede existir un experto en seguridad integral, no se puede estar permanente- mente estudiando y a la vez trabajando, por lo cual se pierde esa visión total y se produce una parcelización o más bien llamémosle especialización en áreas deter- minadas. l