Entrevista a Roman Ramírez
Hace tiempo que conozco a Roman, lo conocí en una de las Rooted Con, un congreso de referencia en seguridad informática en España.
Roman es un tipo muy afable, te echará una mano si lo necesitas y es una persona con unas convicciones muy firmes, supimos mas de él con la charla que presentó en el ciclo de conferencias UPM Tassi.
Tenemos el placer de tenerle aquí para hacerle una entrevista, os dejo con ella.
-¿Quien es Román Ramírez?
Una persona con inquietudes y ganas de mejorar su entorno.
-¿A que te dedicas profesionalmente?
Mi rol profesional es de responsable de seguridad en una empresa del
IBEX35, que se traduce en que, principalmente, me dedico a gestionar
riesgos que afectan a la organización.
-Román, ¿cómo es eso de irte a trabajar a un cliente final? ¿No echas de
menos otro tipo de retos?
En absoluto. Cuando me dedicaba a la seguridad en la parte de proveedor
de servicios, realizaba una serie de trabajos que me apasionaban -
pentesting, forense, consultoría -, pero siempre eran proyectos con un
principio y un final.
La metáfora que siempre utilizo es que me dedicaba a la construcción de
pequeñas iglesias, muchas y en distintos lugares. Pero ahora, estoy
inmerso en la construcción de una gran catedral, colaborando con mucha
gente, participando de todos y cada uno de los detalles de ese proyecto:
riesgos, seguridad técnica, jurídico, negociación, presupuestos...
-¿Cómo ves el futuro de Rooted?
Pues es una excelente pregunta, ¿cómo lo ves tú? Te respondo en dos
partes, por un lado, lo que a mí me gustaría y, por otro, lo que creo
que será.
Me gustaría que se convirtiera en un punto de encuentro y referencia
mundial en materia de seguridad... en español. Creo que todo el mundo
conoce mi postura sobre renunciar a nuestra cultura, nuestra identidad y
nuestro idioma en pro de "ser reconocido por el mercado anglo".
Pero, por otro lado, cuesta mucho esfuerzo modificar la inercia de la
realidad, por lo que veo traducción simultánea (español - ingles, inglés
- español), más asistentes, nuevos tipos de charlas... pero, sobre todo,
hacer crecer la Comunidad. Contando con todo el mundo.
-Se qué es difícil pero, ¿ A qué profesionales del ámbito nacional
respetas más?
A todos los que trabajan en pro de que tengamos una Comunidad. Desde los
que se rompen los cuernos investigando para presentar una charla en NcN,
GSIC, Navaja Negra, X1RedMásSegura o RootedCON, hasta los que revisan
contratos y se dedican a la seguridad jurídica, a los que elaboran
informes y análisis de tendencias, forenses, hackers, fuerzas del
estado, profesionales de la ingeniería inversa, criptoanalistas,
programadores...
Creo que no te he respondido como querías
-¿Qué le dirías a la gente que se quiere dedicar a la seguridad?
Que hay mucho trabajo. Que es una disciplina apasionante. Que te llevas
muchos disgustos cuando ves cosas tan graves que dices "madre mía". Que,
probablemente, es donde encontrarás a mucha gente muy inteligente y con
muchas ganas de hacer cosas. Que se lancen.
Pero, sobre todo, que lo hagan de una manera ordenada. Entrar
directamente en seguridad en UN área es peligroso, puesto que trabajar
en seguridad es algo más amplio, la sobreespecialización y la
focalización en un único tipo de conocimiento no crea expertos en
seguridad, crea especialistas.
Debes tener conocimientos de sistemas, de redes, de aplicaciones, de
ASM, de C/C++, de Javascript, de iso27000, de leyes, de personas, de
OPEX/CAPEX y TCO,...
Desde mi punto de vista, es imposible aburrirse trabajando en Seguridad.
-¿Qué opinas de la seguridad en España?
Depende de en qué ámbitos. En las grandes empresas del IBEX35 está en un
nivel más o menos adecuado (con las implicaciones que tiene ese "más o
menos" en empresas tan grandes).
En el mundo de las pequeñas empresas, particulares, pequeños negocios...
mal.
De alguna manera el ciudadano particular o el pequeño empresario no ven
la necesidad de contar con seguridad, por lo que se encuentran expuestos
a riesgos graves de los que muchas veces, directamente, ni tienen
conciencia (lo que no hace que tengan menos probabilidad de padecerlos).
En la administración, bastante mejorable. Salvando excepciones donde lo
tienen muy claro y gestionan sus riesgos, el resto es relativamente
alarmante. Sobre todo, temas de insfraestructuras críticas, CNPIC y ENS,
me llaman la atención.
No se puede esgrimir por un lado "la peligrosa amenaza ciberterrorista"
y, por el otro, tener vulnerabilidades en multitud de sitios que pueden
llevar a consecuencias tremendas.
Mi opinión personal y particular con estos temas es que, hace falta más
gente comprometida de verdad con que tengamos un mayor nivel de
seguridad, y menos con los votos o con mejorar el EBIDTA.
Vamos, no hay más que leer este "plan para la confianza digital" (PDF,
http://www.agendadigital.gob.es/planes-actuaciones/Bibliotecaconfianza/Plan/Plan-ADpE-5_Confianza.pdf ,
para tener la sensación de que las cosas no van por buen camino.
-¿Qué blogs de seguridad sueles frecuentar?
La verdad es que leo muchos, tanto en español como en inglés. Dragonjar,
Security By Default, El Lado del Mal, Flu, El blog de Angelucho, Carpe
Diem de Antonio Ramos...
Desde que Google cerró el Reader, mis lecturas son un desastre de todas
formas
-Recomiendanos 2 libros técnicos y 2 libros no técnicos
Como libros técnicos:
"Twisted Network Programming Essentials", de Abe Fettig, me ha gustado
bastante y lo he visto, sobre todo, útil.
"Machine Learning for Hackers", de Drew Conway y John Myles White. Ojalá
tuviera más tiempo para profundizar, pero como introducción me gusta
bastante.
Y como libros no técnicos:
"La última partida", Tim Powers. Me lo estoy volviendo a leer por
centésima vez y me sigue fascinando.
"El nombre del viento", Patrick Rothfuss. Al principio no quería leerlo
porque me parecía "para tías" (notad las comillas), pensaba que era un
poco estilo "50 horrores de...", pero no. Me ha encantado.