La seguridad informática corporativa debe CAMBIAR

Publicado el diciembre 5, 2013 por Simon Roses

La semana pasada tuve el placer de impartir una charla titulada “Ciberseguridad: la hora del cambio” sobre mi visión de la postura de ciberseguridad en las empresas en el transcurso de un evento que organizó Page Personnel España, y ya os puedo adelantar que se necesita un gran cambio para combatir las constantes amenazas que pueblan Internet.

La charla comenzó con una exposición de los distintos perfiles de atacantes, desde los atacantes casuales, empleados/internos, hacktivistas y cibercriminales hasta llegar a los atacantes Estado-Nación y cómo las medidas de seguridad son cada vez menos efectivas en función del atacante.

Cada semana podemos leer en los medios que se ha comprometido la seguridad de alguna empresa. Si echamos la vista atrás, en los últimos años grandes compañías como Google, Sony, Citi, RSA, Northrup Grumman y muchas más han sido atacadas con éxito. Todas son empresas con grandes recursos y posiblemente con unas medidas de seguridad aceptables (cortafuegos, IDS, antivirus, política de parches, etc.), pero aun así no han sido capaces de defenderse.

Mucho se habla de los APT como atacantes sofisticados, lo que no es del todo correcto: se trata de que saben utilizar sus recursos ofensivos de forma más eficiente y solo necesitan un fallo de seguridad para entrar en los sistemas.

Existe un principio de seguridad que yo llamo “Auditoría Continua Inversa” y que suelo explicar a mis clientes. Básicamente consiste en que cualquier sistema informático conectado a Internet es “auditado” al menos una vez a la semana por algún actor, lo que significa que son “auditados” constantemente y que la típica excusa por parte de las empresas de «no tenemos enemigos, nadie nos quiere atacar» carece de fundamento. Siempre recomiendo realizar revisiones de seguridad periódicas para conocer el estado de nuestra seguridad y cómo mejorarla.

Es evidente que necesitamos un cambio para protegernos de manera efectiva. En la actualidad demasiadas compañías basan su estrategia de seguridad única y exclusivamente en la compra de productos como cortafuegos, IDS, antivirus, etc.; en suma, tecnologías de décadas anteriores que son claramente insuficientes. Hay una frase de Albert Einstein que refleja sin duda esta necesidad de cambio: «Si buscas resultados distintos, no hagas siempre lo mismo».

Desde mi punto de vista, las organizaciones deben crear una verdadera estrategia de seguridad en la que se involucre a toda la compañía y que haga cambiar su mentalidad. Ante todo, deben tener claro qué información es valiosa, qué nivel de clasificación tiene y dónde se encuentra –aquí hay que añadir que generalmente está muy desperdigada-. En función de este ejercicio ya pueden empezar a diseñar su estrategia de seguridad. ¿Cómo van a protegerse si no saben el qué ni de quién?

La estrategia de seguridad debe abarcar tres frentes: tecnología, procesos y personas. Una estrategia de productos de seguridad afecta a la tecnología, pero deja de lado a los procesos y a las personas, que son igual o incluso más importantes.

En vez de inteligencia, prefiero hablar de visibilidad, de conocer nuestra organización y saber qué debemos proteger y de quién. Algunos aspectos que debería abordar nuestra estrategia de seguridad son los siguientes:

1) Equipo de seguridad 100% dedicado: soy consciente de que resulta complicado para muchas empresas, pero es fundamental. La seguridad es mucho más que administrar cortafuegos y antivirus, por lo que se necesita contar con personal cualificado y totalmente dedicado a esta tarea. Su formación debe ser de carácter defensivo y periódica (al menos anual), aunque también sería recomendable que contaran con formación ofensiva básica para entender por dónde pueden venir los atacantes y cómo repelerlos.

2) Formación: toda la organización debe recibir formación de seguridad ajustada a su perfil para que entiendan y eviten los peligros de Internet, documentos maliciosos, redes sociales, etc. Hoy en día el coste de la formación online es muy asequible, por lo que no hay excusa.

3) Defensas activas: las defensas de seguridad suelen ser pasivas -esperan ser atacadas-, pero deberían ser activas. No consiste en atacar a los atacantes (que puede ser incluso ilegal, ya que no sabemos si contraatacamos al propio atacante o a otra víctima), sino en hacerles perder el tiempo, gastar recursos o incluso detectarles e identificarles mediante tecnología como los honeypots. Un proyecto fantástico para este concepto es Active Defense Harbinger Distribution (ADHD).

4) Postura de seguridad en el software instalado: las empresas cuentan con bastantes aplicaciones instaladas en sus sistemas y se confía la seguridad al fabricante, pero los departamentos de TI y/o seguridad deberían ser capaces de valorar este software. Tecnologías de verificación como VULNEX BinSecSweeper ayudan en este sentido.

5) Desarrollo seguro: no me cansaré nunca de hablar sobre la necesidad de desarrollar software seguro, bien sea una web, una aplicación móvil o cualquier otro software, ya que la mayoría de ataques vienen a través de aplicaciones inseguras. ¡Hay mucho que mejorar en este sentido!

6) Mayor uso de software Open Source de seguridad: las organizaciones tienden a comprar productos comerciales de seguridad porque suelen presentar un mejor interfaz, pero existen muchas soluciones de seguridad open source fantásticas (IDS, antivirus, cortafuegos, etc.) que combinadas con productos de seguridad comerciales pueden mejorar sensiblemente la seguridad corporativa.

Sin duda alguna, existen muchas más áreas de mejora en la estrategia de seguridad, pero las aquí descritas son un buen comienzo. Para empezar, debemos contar con un equipo preparado (personas) y tener todo bien documentado (procesos). No hablo de escribir cientos y cientos de páginas que nadie va a leer, pero sí de documentos sencillos y bien estructurados que describan las tareas y los procesos de seguridad.

Nadie dice que sea fácil, pero este cambio es absolutamente necesario si queremos mejorar la seguridad corporativa y protegernos de las amenazas en Internet. Mientras tanto seguiremos viendo en los medios empresas de todo tipo comprometidas…

Aprovecho para agradecer a Page Personnel que contaran conmigo para su evento, ha sido un placer poder participar.

¿Cuál es tu opinión de la estrategia de seguridad en las empresas: funciona o no?

— Simon Roses Femerling

Publicado en Hacking Etico, Seguridad, Tecnologia | Etiquetado , , , , , | 4 comentarios

Charla AppSecUSA & BinSecSweeper

Publicado el noviembre 27, 2013 por Simon Roses

La semana pasada se celebró en la mítica ciudad de Nueva York el congreso OWASP AppSecUSA 2013, donde tuve el placer de dar una charla sobre seguridad en el desarrollo de software titulada “Verify Your Software for Security Bugs” y presentar mi nuevo proyecto, BinSecSweeper, una tecnología que permite verificar la postura de seguridad de cualquier binario en distintas plataformas.

El desarrollo de BinSecSweeper ha sido posible gracias a una beca del programa DARPA Cyber Fast Track (CFT) para mejorar la seguridad en el desarrollo de software. Para más información os recomiendo leer la descripción del proyecto aquí.

El congreso tuvo lugar en el hotel Marriot Marquis en Times Square, en pleno centro de Manhattan, ¡y atendieron más de 1500 personas interesadas por la seguridad! Como siempre en los eventos OWASP se vieron caras conocidas del mundo de la seguridad con las que tuve el placer de charlar, además de caras nuevas. ¡Un saludo a todas esas personas!

Como era de esperar muchas charlas estaban enfocadas a seguridad en móviles, principalmente Android y iPhone. También pudimos ver muchas charlas sobre seguridad Web y proyectos OWASP, aunque tengo que admitir que algunas charlas no estuvieron a la altura del congreso.

A continuación encontraréis unas capturas de BinSecSweeper, que publicaré próximamente 😉

bss1
Fig. 1 – BinSecSweeper auditando un binario Windows en Linux

bss2
Fig. 2 – BinSecSweeper auditando un binario Linux en Linux

Quiero agradecer al equipo de AppSecUSA la estupenda organización del evento, ¡ha sido un placer poder participar! ¡Nos vemos en futuras ediciones!

— Simon Roses Femerling

Publicado en Conferencia, Hacking Etico, OWASP, Seguridad, Tecnologia | Etiquetado , , , , , , | Deja un comentario

Reseña Libro: iOS Hacker’s Handbook

Publicado el noviembre 14, 2013 por Simon Roses

Hacía tiempo que quería leer este libro, por fin saqué algo de tiempo y tengo que admitir que ha superado mis expectativas. Esta magnífica obra escrita por unos reputados expertos en seguridad en iOS – una de las plataformas móviles líder del mercado – como son Charlie Miller, Dion Blazakis, Dino DaiZovi, Stefan Esser, Vincenzo Iozzo y Ralf-Philip Weinmann nos revela los secretos del sistema operativo móvil de Apple.

iOS Hacker’s Handbook (ISBN: 978-1-118-20412-2) es una fascinante lectura muy técnica que nos adentra en el funcionamiento y seguridad de iOS para encontrar vulnerabilidades y desarrollar exploits.

Sus once capítulos están repletos de código fuente (recomendado entender C y ASM) y describen la arquitectura de seguridad de iOS como el cifrado, sandboxing, los diferentes tipos de protecciones de memoria y firma de código para encontrar vulnerabilidades mediante ingeniería inversa y fuzzing, así como desarrollar exploits mediante modernas técnicas como ROP.

Algunas joyas incluyen el estudio de vulnerabilidades reales que han sido utilizadas para ganar el mítico Pwn2Own, funcionamiento y desarrollo de nuestros propios jailbreaks y depuración y explotación del kernel iOS.

Teniendo en cuenta que el auge en la venta de exploits y lo que se puede llegar a pagar por un 0day en iOS es un negocio muy serio y lucrativo, ¡hay que leer esta obra (leer artículo de Forbes al respecto)!

Este libro está enfocado en la plataforma iOS, por lo que no entra en vulnerabilidades y explotación de Apps – aunque para ese tema ya existen otras referencias por lo que no se echa de menos.

Sin duda una obra de obligada lectura para todos los expertos en seguridad que quieran adentrarse en las entrañas de iOS al más bajo nivel. Os recomiendo leer la obra un par de veces para asimilar bien los conceptos y bajar el código fuente que acompaña, ya que contiene diversas herramientas muy interesantes y que necesitaremos para explotar iOS.

Aprovecharé este post para mencionaros que desde la empresa VULNEX ofrecemos una formación de hacking en móviles que estoy seguro puede ser de vuestro interés 

Puntuación (1 rosa, muy malo / 5 rosas, muy bueno): 5 Rosas (Lectura Recomendada)

— Simon Roses Femerling

Publicado en Hacking, Hacking Etico, Libro, Seguridad | Etiquetado , , , , , , , , | Deja un comentario

AppSec: Mitos en Python sobre ofuscación y reversing

Publicado el octubre 3, 2013 por Simon Roses

Python es un lenguaje de programación fácil y potente que nos permite escribir sofisticados programas, como por ejemplo Dropbox y BitTorrent. Es habitual que se entregue el código fuente de los programas en Python, aunque en algunos casos se aplican diversas técnicas como ofuscación y compilación para proteger el código de los ojos curiosos. Pero ¿realmente funcionan estas técnicas?

En este artículo veremos algunas herramientas que supuestamente nos ayudan a proteger nuestro código y lo fácil que es subvertirlas.

A continuación tenemos dos programas de ejemplo escritos en Python: el primero es una simple función que nos pide una contraseña y nos muestra un mensaje; el segundo ejemplo es igual, aunque en esta ocasión hemos utilizado una clase. 


def main():

        a = "toomanysecrets"

        res = raw_input("Please enter your password: ")
        
        if res == a:
                print "ACCESS GRANTED"
        else:
                print "ACCESS DENIED"

if __name__ == "__main__":
	main()

secretapp1.py


class DoMain:

        def __init__(self):
                self.a = "toomanysecrets"

        def Ask(self):
                res = raw_input("Please enter your password: ")

                if res == self.a:
                        print "ACCESS GRANTED"
                else:
                        print "ACCESS DENIED"

if __name__ == "__main__":
	dm = DoMain()
	dm.Ask()

secretapp2.py

Supongamos que no quiero entregar el código de estos programas, por lo que tengo varias opciones. Nuestra primera opción será ofuscar el código, dificultando su lectura.

Pyobfuscate

Este programa nos permite ofuscar nuestro programa de forma totalmente válida para el intérprete Python. Veamos un ejemplo con SecretApp1 y SecretApp2.

simonroses_python_cap1
Fig. 1 – Secretapp1 ofuscado

simonroses_python_cap2
Fig. 2 – Secretapp2 ofuscado

A simple vista nuestro código no tiene sentido, pero si analizamos el resultado veremos cómo las cadenas de texto siguen en el código y podemos reconocer sintaxis de Python. No es demasiado difícil reconstruir el código ofuscado.

A pesar de sus limitaciones os invito a visitar la web de esta herramienta para ver sus posibilidades.

Htibctobf

Originalmente esta herramienta se escribió para resolver un reto en una competición de hacking en el congreso Hack in the Box. Os recomiendo leer este estupendo artículo.

A diferencia de la anterior herramienta, Htibctobf ofusca el código Python modificando los AST (Abstract Syntax Trees). Al ejecutar esta herramienta podemos ver nuestro código Python ofuscado en la Fig. 3 y Fig. 4.

simonroses_python_cap3
Fig. 3 – Secretapp1 ofuscado

simonroses_python_cap4
Fig. 4 – Secretapp2 ofuscado

Podemos observar el código ofuscado, incluso las cadenas de texto, sin embargo a pesar de todo no es demasiado difícil reconstruir el código original.

Sin duda un interesante concepto con amplias posibilidades pero que requiere de mejoras para ser útil.

En algunos casos quizás baste con ofuscar el código, pero busquemos otras opciones para proteger nuestro código de forma más efectiva: tendremos que recurrir a compilar el código Python creando un ejecutable.

Py2exe

Posiblemente una de las opciones más populares para convertir código Python en ejecutables Windows. Py2exe

En primer lugar tenemos que crear un fichero llamado setup.py que incluya una referencia a nuestro programa que queremos compilar. Ver código setup. 


from distutils.core import setup
import py2exe

setup(console=['secretapp1.py'])

setup.py

Ya estamos listos para compilar nuestro código Python en un ejecutable Windows, para ello ejecutamos py2exe. Ver Fig. 5.

simonroses_python_cap5
Fig. 5 – Compilando secretapp1.exe

Una vez finalizado el proceso de compilación, py2exe nos creará un directorio llamado “dist” que incluye nuestro ejecutable y algunas librerías necesarias. En la Fig. 6 podemos ver que py2exe finaliza con éxito y ejecutamos nuestro programa en formato exe.

simonroses_python_cap6
Fig. 6 – Compilación completada

Ahora podríamos distribuir este binario sin miedo a entregar nuestro código o quizás no ¿?

Py2exe_extract

Esta herramienta nos permite extraer los objetos Python dentro de los ejecutables creados con py2exe, básicamente invertimos el proceso. Py2exe_extract

En la Fig. 7 podemos ver como utilizamos py2exe_extract para obtener el fichero objeto (el contenido de este fichero es independiente de la plataforma y se conoce como Bytecode) de nuestra aplicación secretapp1.exe (secretapp1.pyc)

simonroses_python_cap7
Fig. 7 – Extrayendo el fichero objeto

Ahora tenemos que ver cómo podemos obtener el código de este fichero objeto.

Unwind

Unwind es un desensamblador para Python Bytecode que podemos utilizar para analizar ficheros objetos “.pyc”. Para este ejemplo he escrito un simple script en Python, mytest.py, que importa el desensamblador y analiza el fichero pyc. Ver código a continuación. 


import unwind

print(unwind.disassemble('secretapp1.pyc'))

mytest.py

Con este script podemos ejecutar el siguiente comando y obtener un desensamblado del fichero objeto. Ver Fig. 8.

simonroses_python_cap8
Fig. 8 – Python Bytecode

Para los amantes del bajo nivel esta será su opción favorita 😉

Uncompyle2

Otra opción es utilizar un decompilador como uncompyle2 para obtener el código directamente del fichero objeto “.pyc” sin tener que pasar por el desensamblador como vimos anteriormente.

Esta herramienta es potente y fácil de utilizar, como se puede observar en la Fig. 9 mediante un simple comando obtenemos el código fuente de secretapp1.pyc.

simonroses_python_cap9
Fig. 9 – Código de secretapp1 obtenido del fichero objeto

Wow, tenemos código fuente!

A lo largo del artículo hemos visto algunas técnicas de ofuscación y compilación de código Python para protegerlo, no obstante hemos podido subvertir todo el proceso de protección fácilmente 

La siguiente lista son otros compiladores Python que podemos utilizar para Windows, Linux o MacOS, pero tienen los mismos problemas.

También podríamos analizar y subvertir el binario utilizando herramientas como IDA PRO o Immunity Debugger, lo que dejaremos para un futuro post. Otra interesante herramienta que no he comentado es pyREtic, un potente framework para reversing de in-memory de Python Bytecode.

Que un atacante consiga el código Python es cuestión de tiempo, sin embargo para ponérselo realmente difícil desde un punto de vista defensivo se
tienen que combinar diferentes técnicas.

¿Proteges tus programas en Python? ¿Qué métodos utilizas?

— Simon Roses Femerling

Publicado en Hacking, Hacking Etico, Privacidad, SDL, Seguridad, Tecnologia | Etiquetado , , , , , , | 6 comentarios

Reseña Libro: Mob Rules. What the Mafia Can Teach the Legitimate Businessman

Publicado el septiembre 13, 2013 por Simon Roses

Al leer la sinopsis del libro ya nos damos cuenta que este no es el típico libro de cómo triunfar en los negocios. Escrito por Louis Ferrante, ex mafioso de la familia Gambino y reconvertido a escritor, nos compara la estructura de la mafia y su peculiar estilo de hacer negocios para obtener el éxito en el mundo empresarial.

Mob Rules: What the Mafia Can Teach the Legitimate Businessman (ISBN: 978-1591843986) es una obra diferente y de fácil lectura que describe multitud de consejos básicos y lógicos para triunfar en los negocios y que muchos emprendedores y ejecutivos deberían leer y sobre todo aplicar.

A lo largo de sus tres secciones (soldado=empleado, capo=mandos intermedios y don=alta dirección) divididas en 88 lecciones, el libro nos detalla cómo la mafia aplica estos conceptos para triunfar en los negocios.

La obra está llena de referencias a casos reales de la mafia e historia antigua con ejemplos de cómo hacer o no las cosas. Todos estos casos reales han sido muy bien seleccionados y, además de interesantes, potencian el mensaje del autor.

Desde hace años se habla del Arte de la Guerra de Sun Tzu como una obra de referencia para aplicar a los negocios, pero sin duda Mob Rules es una obra a tener en cuenta para hacer negocios.

El punto negativo de la obra es que algunas lecciones son muy básicas y no aportan demasiado al lector.

Recomiendo el libro tanto como si queremos aplicar sus consejos a los negocios o simplemente por leer un libro curioso repleto de casos reales sobre la mafia.

Puntuación (1 rosa, muy malo / 5 rosas, muy bueno): 4 Rosas (Lectura Recomendada)

— Simon Roses Femerling

Publicado en Economia, Libro, Negocios | Etiquetado , | Deja un comentario

¡La App Libres no es tan libre!

Publicado el agosto 1, 2013 por Simon Roses

El pasado julio el Ministerio de Sanidad, Servicios Sociales e Igualdad junto a Telefónica España presentaron una App social dirigida a las mujeres que sufren o han sufrido violencia de género para plataformas Android y iOS.

Esta App llamada Libres permite obtener información para ayudar a las mujeres a combatir esta lacra de nuestra sociedad y por ello he pensado que sería interesante realizar un análisis rápido para determinar la postura de seguridad y privacidad de la App.

Desconozco si esta App es realmente de ayuda a las mujeres que sufren violencia de género, sinceramente espero que sí, pero desde un punto de vista de seguridad la App tiene varios problemas. Solo he revisado la versión Android, aunque imagino que la versión iOS sufrirá problemas similares.

Este artículo no es ninguna crítica a la App o a sus desarrolladores sino todo lo contrario: es mi granito de arena para mejorar la seguridad y privacidad que se han descuidado un poco en una App que ayuda en un tema tan preocupante y sensible como la violencia de género.

Falsa sensación de seguridad

En la web del Ministerio podemos leer:

“Todo ello de un forma ágil, sencilla, intuitiva, gratuita y sobre todo confidencial ya que la aplicación se ha diseñado para que permanezca oculta en el menú del teléfono de tal manera que nadie más, salvo ella misma, sepa que dispone de una aplicación sobre violencia de género”.

Lo siento mucho, pero utilizar un icono falso similar a “Ajustes” en Android (ver Fig. 1) y que luego al ejecutar la App aparezca un falso menú (ver Fig. 2) que nos lleva a la auténtica aplicación al pulsar “Aplicación” (ver Fig. 3) no lo llamaría confidencial y diseñada para permanecer oculta como afirma el Ministerio.

libres_screen8Fig. 1

libres_screen4Fig. 2

libres_screen7Fig. 3

¡Sin duda esta área se puede mejorar!

¡Comunicaciones en texto claro!

Otro problema de seguridad es que toda la comunicación entre la App y los servicios ofrecidos por el Ministerio es en texto claro. Aunque la App no contiene información sensible es siempre aconsejable cifrar las comunicaciones.

Un atacante podría estar espiando la red donde está conectado el dispositivo y ver que Libres está instalada. Además la App permite enviar comentarios / sugerencias al Ministerio que son enviadas sin cifrar.

¡Otra área más de mejora!

Recomendaciones de Seguridad

A continuación algunas recomendaciones para mejorar la seguridad y privacidad de esta App:

  • La App contiene otros fallos de seguridad, como Debug activado por defecto.
  • Toda comunicación debería estar cifrada mediante SSL.
  • La App debería detectar si el dispositivo puede estar comprometido (ver mi articulo sobre rooted).
  • Al diseñar una App siempre debemos realizar un modelo de amenazas que nos ayude a identificar los riesgos y cómo minimizarlos.
  • Sería conveniente mejorar sustancialmente el mecanismo de ocultación de la App.

¿Qué mejoras de seguridad incluirías en la App?

¡Desearos un feliz verano, hoy 1 de agosto!

— Simon Roses Femerling

Publicado en Hacking Etico | Etiquetado , , , | Comentarios desactivados en ¡La App Libres no es tan libre!

Entrevista en RTVE

Publicado el julio 21, 2013 por Simon Roses

En el portal de RTVE en la sección de Tecnología se ha publicado una entrevista que me han realizado recientemente y que espero que los lectores del blog disfrutéis 🙂

En esta entrevista comento el trabajo realizado por VULNEX para el DARPA, siendo la única startup española en colaborar con el DARPA Cyber Fast Track (CFT) desarrollando un proyecto en I+D en ciberseguridad. También tratamos otros temas de interés como el perfil de los atacantes, por qué falla la seguridad en las empresas, la dificultad de emprender en este país y otras cuestiones.

Agradezco a la gente de RTVE su interés y apoyo a VULNEX para que el público vea que algunas empresas en España sí apostamos por el I+D y gracias a ello estamos trabajando en proyectos interesantes a nivel nacional e internacional.

— Simon Roses Femerling

Publicado en Emprendedores, Seguridad, Tecnologia | Etiquetado | Deja un comentario

OWASP Top Ten 2013 seminario gratuito

Publicado el julio 18, 2013 por Simon Roses

Ayer, 17 de julio, impartí un seminario gratuito sobre el OWASP Top Ten 2013 que se publicó recientemente y que describe las diez vulnerabilidades más comunes en aplicaciones Web. Este seminario es una colaboración entre la Catedral de Innovación del Ayuntamiento de Madrid y VULNEX para concienciar sobre ciberseguridad.

La presentación del seminario la tenéis colgada en la web de VULNEX.

Si desarrollas aplicaciones web, este documento es para ti!

Aquí os dejo una foto del seminario 😉

vulnex_OWASP_17junio13

Muchas gracias a la Cátedra de Innovación y a todos los asistentes.

Hasta el próximo evento!

¿Qué temas te gustaría que tratara en el próximo evento?

— Simon Roses Femerling

Publicado en OWASP, Privacidad, SDL, Seguridad, Tecnologia | Etiquetado , , , , , | Deja un comentario

ANCITE: nueva Asociación Nacional de Ciberseguridad y Pericia Tecnológica

Publicado el julio 4, 2013 por Simon Roses

Recientemente se ha creado la ANCITE (Asociación Nacional de Ciberseguridad y Pericia Tecnológica) con el espíritu de crear una autentica asociación nacional dedicada a fomentar la ciberseguridad y el peritaje informático de forma seria y rigurosa, sin duda toda una necesidad en este país.

En la asociación podemos encontrar grandes profesionales como son Pedro Sánchez y Lorenzo Martínez, entre otros (como los fundadores pero dejaré que sean ellos que se presenten), por lo que el tema promete 🙂

Me parece perfecto que se haga un esfuerzo por concienciar en ciberseguridad, el área por donde me muevo principalmente, por lo que espero poder participar en los proyectos y eventos de la asociación.

Nos vemos pronto en algún sarao 😉

— Simon Roses Femerling

Publicado en Hacking Etico, Seguridad, Tecnologia | Etiquetado , | Deja un comentario

Reseña Libro: Más ideas y menos másters

Publicado el julio 3, 2013 por Simon Roses

Esta magnífica obra escrita de forma clara, simple y de fácil lectura por el empresario Kike Sarasola, uno de los fundadores de la cadena hotelera Room Mate, nos revela a lo largo de sus trece capítulos su forma de ver las cosas y actuar.

Más ideas y menos másters (ISBN: 9788499982878) trata sobre un tema como es el emprendimiento, sin duda hot topic del momento, pero escrita por alguien que ha sabido darle un aire de frescura al negocio de la hostelería y crear una cadena de referencia, todo una hazaña en este país, mediante lógica, pasión y esfuerzo.

Si estás emprendiendo, como el servidor de este post, o estás pensando en hacerlo te recomiendo que leas este libro encarecidamente porque te será bastante útil. El autor nos revela cómo fueron sus comienzos (duros como todos los que hemos pisado este terreno), cómo obtener financiación, rodearte de los mejores (socios, inversores y empleados) y cuidarlos a todos. Pero sobre todo menos teoría y más práctica, ya que hasta que no pongamos nuestro negocio en marcha no podremos saber qué funciona y qué falla.

La obra está llena de referencias a emprendedores de éxito (Ray Kroc, Richard Branson y otros muchos) que en su día fueron disruptivos porque hicieron las cosas de forma diferente y también de ejemplos reales de la vida del autor en su faceta de deportista olímpico y de empresario.

Definitivamente una estupenda obra para todo aquel que quiera empezar o ya sea un emprendedor para coger ideas y lanzarse a la piscina.

Y como él dice en el libro: El <<no>> no existe: ¡ATRÉVETE!

Puntuación (1 rosa, muy malo / 5 rosas, muy bueno): 5 Rosas (Lectura Obligatoria)

— Simon Roses Femerling

Publicado en Economia, Emprendedores, Negocios | Etiquetado , | Deja un comentario