Pages

Ads 468x60px

domingo, 11 de noviembre de 2012

Primera entrevista, Kinomakino

Hola a tod@s.

Ya tenemos aquí la primera entrevista a uno de los grandes, Joaquín Molina, más conocido en la red por Kinomakino. 
Sin más, os dejo la entrevista, no sin antes agradecer a Joaquín su amabilidad y el tiempo que se ha tomado.



1. Cuéntanos, ¿Quien es Kinomakino? ¿A que te dedicas?

      Pues como todos los kinos, soy Joaquín. Tengo 31 años (depende de cuando leas la entrevista). Soy responsable de sistemas de información en el mejor hospital de mi ciudad J . Una ciudad en la que decimos "acho ¡!!" cada dos por tres J. Aparte, escribo desde un tiempo en http://kinomakino.blogspot.com.es/ .Os podéis imaginar en un sector tan crítico como es la salud, las medidas de seguridad implantadas en la organización. Hablo de medidas más que de técnica pura y dura, ya que los usuarios son personal sanitario, que no tienen porque estar familiarizados con la informática, y mucho menos con la seguridad. Tengo la suerte de poder dedicar un 20/30% de mi tiempo en innovación, adelantándome así las necesidades de la empresa, y por qué no, "entreteniéndome" con lo que mas me gusta, que es la seguridad. 



2. Kino, ¿Que has estudiado?

      Pues ayer estudié bastante con este libro http://www.syngress.com/hacking-and-penetration-testing/Seven-Deadliest-USB-Attacks/  xD.
No soy ingeniero informático, pero llevo unos 20 años estudiando prácticamente a diario. Hace unos años ( 10!!!!) me saqué unas siglas "de esas de Microsoft" para abrirme paso un poco en este mundillo, y tengo miles (4000h.) de horas en cursos, tanto como alumno, como instructor (se aprende mas xD ). Es decir, que soy un loco de la informática, y me río de esos que quieren colegiar la informática para luchar contra los "intrusos" como yo. Que se dediquen a destacar para encontrar un buen trabajo J. Ah ¡!! También estudié hace unos años un módulo de programación, pero me tiré los dos años en la sala de profesores migrando NT4 a A.Directory xD.
3. ¿De donde te viene la afición por la informática?

      Pues de mí querido padre. Trabajó toda su vida en telefónica, por lo que en casa siempre hubo, desde un Spectrum 48k, un MODEM de 9600 baudios, en adelante. Con 9 años jugaba a programar, copiando los libros de Basic de pe a pa, y grabándolos en cintas. Por cierto, tengo que reconocer que mi vida giraba en torno a las cintas, con el spectrum, y haciéndome "master´s mix" con mi música favorita de los 40principales xDD. Respecto a la seguridad, pues con 15 años (1995) y un MODEM, no se me ocurrían cosas mejores que hacer que usar los scripts de los irc´s ( ctcp echo flloding, ctcp con/con, ping de la muerte y demás) y mandar el netbus a los colegas newbies para abrirles el cd-rom... Tenéis un poco esta historia en mi blog: http://kinomakino.blogspot.com.es/p/mi-historia-personal.html
Aparte, puntualizar que no es afición, es pasión. Desde hace muchos años me gusto la parte mas social del asunto, y he pasado horas y horas en los foros technet (https://www.google.es/search?output=&sitesearch=&hl=es&q=kinomakino+news ) ayudando y aprendiendo en lo que podía.

4. Siento comunicarte que llega la pregunta “picajosa”, ¿Windows o Linux?.

      Cuanto tiempo sin oírla ¡!!! En términos generales Microsoft. Quizás en ambientes académicos, instituciones y demás si tenga sentido Linux, pero en la pequeña y mediana empresa sin duda Microsoft es el líder mundial, y creo que seguirá así muchos años.
Cuando estas metido en el mundo empresarial, como es mi caso, en un cliente final, y no en una empresa de servicios, el objetivo principal es el de implementar las soluciones las eficaces, con el mínimo coste, y es por ello que analizando el TCO ( Total Cost ff Ownership) de un proyecto normal en una empresa, a 5 años, en el mundo Linux es muchísimo mas caro. 
Cuando compras un ERP por ejemplo, el coste principal no son las licencias, es la mano de obra de los consultores/implantadores y por supuesto, el mantenimiento. En mi ciudad conozco a media docena de personas certificadas en productos Microsoft, y solo a uno en Suse. Hay MUCHAS empresas con los "sellos de Microsoft" y me es mucho mas fácil encontrar un profesional altamente cualificado, repito, altamente cualificado en entornos Ms que Linux.*** Hay muchas personas que "saben" Linux, que son crack´s, pero realizando esas típicas cosas de linux que hay que ser verdaderamente experto, pero que en Windows solucionas con 5 minutos o Softonic. Sin embargo, si quieres montar algún pollo interesante, nose... un par de delegaciones, cada una con un par de controladores de dominio, con una línea Adsl de replicación entre cabezas de puente, y una línea de backup mas lenta para las noches o caídas, búscate a alguien que te lo monte en Linux, y mira a ver lo que tarda (tiempo=dinero).


5. A parte de la informática,  ¿que otras cosas te gustan?

Pienso que la comida es el mayor placer que se puede tener en esta vida...con la ropa puesta xD. Me gusta cocinar, comer, y la playa ¡!! El sol ¡!! Durante todo el año, oler el mar es mi vía de escape. También me gusta mucho la música, el deporte y los gatos xD. Me gusta vivir el día a máxima intensidad y me gusta estar en la cama a las 22:00, y en mi casa a las 23:00 J

6. ¿Alguna vez has hecho algo "en contra de la ley" y que puedas contarnos?
NOOOOOOOooooooooo, bueno si (Modo gallego=On). No sé si desde los nodos de Trinidad y Tobago están permitidos los escaneos de puertos torificados xD. En serio, no suelo cometer muchas ilegalidades, por ejemplo nunca pirateo software, la música intento comprarla, la que me gusta mucho, pero en esta profesión, en la que tenemos que conocer el aspecto ofensivo en detalle para establecer las defensas, es inevitable que alguna vez te metas donde no debes. Hay muchas maneras de aprender con laboratorios, pero el mundo "real" siempre es más complejo y variopinto, y si quieres llegar un poco más allá, tienes que rozar la ilegalidad. Por ejemplo cosas que no hago es usar los Google dorks para encontrar vulnerabilidades, pero si un proveedor, cliente, amigo, etc me da el consentimiento, siempre actúas un poco al margen de la ley.


7. ¿Le has dedicado o dedicas mucho tiempo a un juego? Eres gammer?

Pues la verdad es que no lo soy. Perdí un año de mi vida con un juego llamado Travian, que duraba unos 8 meses, en el que tenías que poner el despertador a las 2 de la mañana para sincronizar los ataques con gente repartida por todo el mundo, así un año ¡!! Evidentemente jugué dos partidas y las ganamos (no creo que todo el mundo hiciera estas locuras xD). No me gusta aislarme en casa jugando, ni que la consola sea el centro de atención en las reuniones con amigos. Es mas, hasta la tele la tapo con el mueble cuando tengo visitas en casa.


8. ¿Que herramientas sueles usar?.

En mi vertiente más comilona, uso palillos chinos para casi todo xD. En la informática pues uso muchas herramientas de monitorización como NAGIOS, Squid Proxy, Nessus, Nmap y en general todo tipo de herramientas GNU. En la parte de mi trabajo mas vertical pues uso nuestro "erp" sanitario ( HIS) y todas las aplicaciones "anexas" como son PACS, RIS. Suelo pelearme mucho con Pentaho para reporting y "palicos y cañicas" de integración, y de vez en cuando me peleo con Sql Server para optimizar los planes de ejecución de consultas, indexado, y tunning en general.


9. Como ves la seguridad en las empresas españolas, que opinas de ello?

La seguridad en las empresas españolas la podría comparar con la situación de crisis que afronta el país, por no haber hecho las cosas bien desde el principio (boom urbanístico). Por ejemplo, cada vez es más habitual encontrar con empresas con un firewall más o menos bueno/caro, con soluciones comerciales de antivirus/anti-malware. Pero lo que no suelo encontrar es empresas en la que la cultura de seguridad sea una pieza clave en los planes estratégicos. Por ejemplo, ahora está de moda la nube, pero pocas empresas tienen varias líneas de Internet para caídas, y usan protocolos seguros, y tienen mecanismos para evadir/detectar ataques. O la virtualización ¡!! Tener un servidor con 2 máquinas virtuales es un paso importante para tener un plan de contingencia efectivo, pero es ineficaz, ya que se sigue dependiendo del disco duro del servidor, y del propio servidor.
Las empresas en la seguridad, y en casi todo, se dejan guiar por consultores/vendedores que les prometen servicios de alto nivel, como son los anteriormente mencionados, pero no se preocupan de que el sistema "base" esté bien diseñado. Tengo MUCHIIIIISIMOS casos de proveedores y amigos, que les informas de vulnerabilidades GRAVES, y prefieren ni saberlas.
El año pasado reporte un gravísimo fallo a un grupo hospitalario en octubre, y les ofrecí mi trabajo GRATIS, a cambio de pagarme las dietas en su ciudad. Una empresa con más de 50 informáticos. Un responsable de sistemas que seguramente cobra 3 veces más que yo. Se lo hacia gratis. Me dijeron que no, que "gracias". A los 8 meses salió en prensa que los crios de Annonymous habían reventado el sistema, expuesto datos de salud... El responsable se fue a la calle. Repito, me ofrecí GRATIS a auditar los sistemas con ellos, con el único fin de aprender...
10. Y por Ultimo, que le recomendarías a alguien que quiera empezar en la seguridad informática?.
      La seguridad informática para mi tiene dos visiones. Una es la de experto en seguridad, pentest. Esos blogs que leemos de gente que "mete" un virus en una sandbox y en código máquina destripa el virus. Gente que se pasa los días estudiando protocolos e implementaciones y publica artículos realmente alucinantes. Podríamos decir que se dedican full time a la seguridad. Este no es mi caso, pero sin duda SANS, CISCO, CISSP, CEH y demás son certificaciones que si bien el titulo es lo de menos, el proceso de estudio sin duda enriquecerá nuestros conocimientos. Luego está mi caso. El de responsable de sistemas. Si vas a instalar un Sql Server para una aplicación, o te lo van a instalar DEBES comprarte un par de libros buenos, y conocer en detalle como funciona, como recuperarlo, como securizarlo, etc. No tienes que ser experto en todas las materias, pero si conocedor. Y la seguridad DEBE ser un factor igual de importante que la disponibilidad, rendimiento, etc.

      Añado que gracias a mi amigo de 1gb de información por contar conmigo para esta entrevista, y en general agradecer a todos mis escasos seguidores por los ánimos que me dan para escribir. Me gustaría que la gente entendiese que si dormimos 8 horas, trabajamos otras 8, hacemos deporte 1 hora, invertimos 1 hora en comidas, 1 hora en desplazamientos, nos quedan 5 horas para la familia, amigos, estudiar o lo que sea, y dedicarle estos ratos a veces es un esfuerzo en detrimento de otras actividades. Gracias a toda la comunidad.

Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates