jesusdml.es

En esta época del año, suele ser normal recibir algún que otro correo de colegas que acaban de terminar la carrera informática o teleco, u otros que quieren cambiar de aires y desean empezar en «esto» de la seguridad informática. Si bien no creo tener el número necesario de canas para estar recomendando de forma deuteronómica a las personas qué hacer con su vida, mi recomendación es siempre la misma: sigue aprendiendo y no pares nunca de aprender experimentando.

El Guinness de esto va a ser mio si o si

En la informática, en seguridad sobre todo, hay que desarrollar una habilidad, intuición, y tener una base sólida de experiencia. Es imposible auditar bien un entorno en el que no conoces los sistemas a los que te enfrentas. Cada sistema es un mundo y cada mundo dentro de un sistema funciona de forma diferente.

En sistemas antiguos, que hayan sido implementados hace tiempo, es posible que el administrador haya metido mucha mano en el y que la respuesta a las herramientas que puedas usar no sea la que te marca «el libro». Incluso hay parches para algunos sistemas operativos que varían la respuesta ante un scanner de puertos para hacer fingerprinting.

Prohibido aburrirse!! Aprendiendo sobre seguridad informática…

Retomando la pregunta del principio, este veranito podemos invertir en nuestro futuro profesional con:

• Leer unos cuantos libros, documentos (algunos libres de uso) y ser habitual de algunos portales web:

• OWASP, Guía de desarrollo seguro
• OSSTM, Metodología abierta de testeo de seguridad informática
• PCI DSS, Principal norma de seguridad para medios de pago
• Portal de ISO 27001 en español
• Portal de PCI DSS en español
• Portal de ISACA, generador de las certificaciones más valoradas en el mercado, CISA y CISM

• Hacer un par de cursos que nos ayudarán a centrarnos en alguna metodología con «consecuencias laborales» y poder revalorizar el (de momento) escueto currículo:

• Curso de auditor/implantador de la normativa PCI DSS para tarjetas de crédito
• Cursos de las diferentes certificaciones de ISECOM (OSTMM)
• Cursos de las certificaciones CISA o COBIT entre otras
• Formación en análisis forense digital

• Instalarnos instalarnos VirtualBox y conocer sistemas operativos con los que no estamos familiarizados para aprender su funcionamiento, configuración, como se securizan, vulnerabilidades comunes, etc.

• https://www.virtualbox.org/
• Artículo sobre VirtualBox en Jesusdml.es
• Diferentes tipos de servidores preinstalados para VirtualBox

• Jugar con algunas de las herramientas que podemos encontrar en la excelente y excelsa recopilación de los señores de Flu-Project:

• http://www.flu-project.com/p/herramientas-de-seguridad.html

En definitiva si este verano te aburres después del mundial, bajar a la playa/piscina, irte a recorrer mundo, crear tu banda de música decimonona con instrumentos de época, criar orquídeas, estudiar la proliferación de hongos en ambientes húmedos, descubrir los secretos sobre el vuelo de la mosca común y echarle un vistazo a lo que pongo en este artículo o colaborar con más enlaces y recursos recomendables en los comentarios del mismo, será estrictamente culpa tuya!! 😀

Por supuesto que no he incluido ni la brizna de una planta (de plástico, que si no se congela) que esté en  la punta del iceberg de la seguridad informática, pero por algo hay que empezar, no? 😉

Saludos,

Autor: Jesus D. Muñoz