Descargar CV - Antonio González Castro

Antonio González Castro
CO Founder at Analyticmate & Board Member at Pragsis
[email protected]
Extracto
CO Founder de Analyticmate y Executive Security Director (CISO) en Pragsis, especialista en seguridad
informática con más de 7 años de experiencia en proyectos relacionados con la seguridad de la información.
Actualmente soy colaborador con OWASP, ANTPJI y ANCITE, organizaciones dedicadas a la seguridad
informática. Soy Perito Judicial acreditado por la Asociación Nacional de Tasadores y Peritos Judiciales
Informáticos y por la Asociación Nacional de Ciberseguridad y Peritajes Tecnológicos. Estoy certificado
por EC-Council en Certified Ethical Hacker (CEH), Computer Hacking Forensic Investigator (CHFI) y
Certified Security Analyst (ECSA). Además, cuento con las certificaciones ITIL Foundation v3 (Information
Technology Infrastructure Library), Lead Implementer (ISO 27001), BigData Fundamentals Technical
Professional (IBM) y Hadoop Essentials (Cloudera). Especialidades: Penetration Test, Web Application Audit,
Ethical Hacking, Mobile Application Testing, Network Security, Reversing, Forensic, Security Assessments,
Managing Teams, Cyber Security Policy Contexs, OS Platform Security, Cyber threat Intelligence Gathering,
Big Data Security, Analysis of Business and Technology Risks, SAP Security, Industrial Cybersecurity,
SCADA Security and SCADA Audits. Experiencia con metodologías y normas: - OWASP, OSSTMM,
PTES, OWISAM, OASAM - ISO 27001, PCI-DSS, LOPD, ENS, ISO 9001, SOX Experiencia con
herramientas de seguridad comerciales: - Auditoría e intrusión: Acunetix, AppScan, Nessus, Fortify, Burp,
ERPScan, ESNC - Cibervigilancia: Autonomy, Optos, Maltego, AzorCloud, Radian6 - Correlación y
analítica: Q1Labs, QRadar, Arcsight, Ossim, Bidoop Security, Splunk, Trustwave - Seguridad perimetral: IPS
Proventia IBM, Corero, McAfee IPS, Trustwave - Análisis forense: Oxygen Forensic, UFED Standard, XRY,
MobilEdit! - Gestión de identidades: Tivoli Identity Manager (TIM), Oracle Identity Manager
Certificaciones
Certified Ethical Hacker (CEH v7)
EC-Council
marzo de 2011
Certified Security Analyst (ECSA v4)
EC-Council
junio de 2013
Computer Hacking Forensic Investigator (CHFI v8)
EC-Council
septiembre de 2012
ISO 27001 Lead Implementer
ISO International Organization for Standardization
junio de 2011
Perito Judicial Informático
ANTPJI
julio de 2013
ITIL Foundation v3 (Information Technology Infrastructure Library)
EXIN
noviembre de 2011
BigData Fundamentals Technical Professional v1
Página1
IBM
octubre de 2013
Hadoop Essentials
Cloudera
abril de 2014
CCAH: Cloudera Certified Administrator for Apache Hadoop
Cloudera
diciembre de 2014
Experiencia
CO Founder & CEO at Analyticmate
noviembre de 2014 - Actualidad (3 meses)
Analyticmate es la plataforma de software líder en la integración de modelos de inteligencia y la recolección
de gran cantidad de datos, ofreciendo una combinación de tecnología Big Data y precio que permite a
cualquier compañía, sin importar el tamaño o la ubicación de sus sistemas, disponer de un entorno adecuado
para desarrollar su seguridad, el seguimiento de sus indicadores de negocio y el cumplimiento normativo.
Mi papel en Analyticmate es: - Trabajar unido en todo momento al producto y mercado, proponiendo una
lluvia diaria de ideas y debatiendo mejoras. - Definir la estrategía de negocio de la compañía. - Mentor de
todos los miembros que forman este gran equipo, con el objetivo de conseguir un crecimiento de los mismos
dentro de la compañía. - Ayudar a priorizar, toma de decisiones, ventas y ejecutar acuerdos de negocio. Compartir lecciones aprendidas a partir de mi experiencia en otras compañías del sector de la seguridad de la
información y Big Data. - Búsqueda de fondos de capital de riesgo.
Director & Board Member at Pragsis
septiembre de 2013 - Actualidad (1 año 5 meses)
Director ejecutivo responsable de la dirección comercial y ejecución de proyectos de seguridad para Iberia
y Latam. - Seguridad Gestionada - Hacking Ético - Cumplimiento Normativo - I+D+i (Soluciones de
Seguridad en entornos Big Data & Cloud, Bidoop SOC, Bidoop Labs) - Formación Responsable de alinear
las iniciativas de seguridad con los programas corporativos y objetivos del negocio, garantizando que se
reduzcan los riesgos operativos de Pragsis Technologies. - Análisis de riesgos de negocio y tecnológicos
- Análisis de contingencias legales, forensics - Proceso de desarrollo de políticas y normativas de uso y
desarrollo de servicios - Responsable de seguridad corporativa - Gestión de personas y presupuestos Supervisión de proyectos, gestión de personas y decisiones compras/contratos (presupuestos) - Miembro del
comité de dirección
1 recomendación disponible previa solicitud
Associate Partner at ANTPJI
julio de 2013 - Actualidad (1 año 7 meses)
Asociación Nacional de Tasadores y Peritos Judiciales Informáticos. - Ciberseguridad y Pentesting Peritaje Informático y Tecnológico - Auditoría Informática y Forense - Derecho Tecnológico y Defensa
Judicial - Asesoría Informática - Marcas y Patentes
Head of Security Center of Excellence at everis
Página2
noviembre de 2009 - agosto de 2013 (3 años 10 meses)
Responsable del Centro de Hacking de everis: - Auditorías - E-Crime - Seguridad gestionada - Formación
8 recomendaciones disponibles previa solicitud
Mobile Security Project at OWASP
julio de 2012 - noviembre de 2012 (5 meses)
Definir guía de pruebas de pentesting sobre aplicaciones de iOS y android
Information Security Manager at PerformSec
febrero de 2007 - julio de 2009 (2 años 6 meses)
Responsable de Seguridad de la Información
Aptitudes y conocimientos
Hacking Ético
Team Management
OWASP
ITIL
ISO 27001
CEH
ISACA
Security
Security Management
Network Security
Security Audits
Expert Systems
CHFI
Computer Forensics
Reverse Engineering
Big Data
Hadoop
Ethical Hacker
Seguridad
Seguridad de red
Cursos
Head of Security Center of Excellence
everis
(Instructor) Auditorias en Aplicaciones Web y Sistemas 40
Corero Network Security
16
Página3
Director & Board Member
Pragsis
Bidoop Big Data Solution
Apache Hadoop Fundamentals Technical
IBM InfoSphere BigInsights
Técnicas para la Protección de los Sistemas
40
40
32
8
Publicaciones
Big Data & Seguridad - Un matrimonio de futuro
Owasp Spain junio de 2014
Autores: Antonio González Castro
Primeramente se analiza la tecnología Hadoop (HDFS) desde el punto de vista de su funcionamiento
(información distribuida) y su seguridad, revisando cada uno de los aspectos de autenticación, autorización,
cifrado o ejecución de código, para, a continuación, pasar a analizar como utilizar el potencial de Big Data
para la seguridad que puede ser, por ejemplo, una excelente herramienta para la centralización de eventos
(sin límite, y acumulando logs por años que luego pueden correlacionarse) o para la detección del fraude
(mediante análisis de comportamiento en el uso de tarjetas de crédito).
Caso Práctico - Test de Intrusión
EC-Council mayo de 2013
Autores: Antonio González Castro
Un test de intrusión es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por
profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que
pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o
servidores.
Cross Site Scripting - Conceptos Básicos
Priv8 septiembre de 2008
Autores: Antonio González Castro
Cross Site Scripting o también conocido como XSS por sus siglas en inglés, corresponde a una vulnerabilidad
que afecta principalmente al usuario. La causa de la vulnerabilidad radica en la validación de entradas HTML
incrustadas, usando diversas técnicas para inyectar código de marcas (HTML) o código ejecutable en la
maquina cliente (Javascript, VBscript o Active X). .
Calificación de pruebas
CTF de Owasp Latam (Capture The Flag)
abril de 2013 Calificación:3rd Place
Página4
Tercer puesto en el CTF de Owasp Latam, las principales pruebas de este CTF se centraban en las siguientes
categorías: - Reversing - Web - Crypto
Reconocimientos y premios
Certified Ethical Hacker (CEH v7) - GOLD
EC-Council
marzo de 2011
Reconocimiento a la primera persona certificada en España y Portugal como hacker ético v7 con la mejor
nota.
Colaboración INTERPOL
INTERPOL
abril de 2009
Colaboración importante para esclarecer un caso con la INTERPOL en una investigación de cyberterrorismo.
Organizaciones
Socio en ANTPJI
julio de 2013 a Actualidad
La Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI) es una entidad totalmente
independiente y profesional de Expertos en TICs, siendo la primera asociación de peritos informáticos
española, siendo su registro el 09/03/2011, y su objetivo es ofrecer a la Sociedad el conocimiento y la
experiencia de expertos informáticos para el asesoramiento técnico.
Socio en ANCITE
julio de 2013 a Actualidad
ANCITE es una entidad privada sin ánimo de lucro y de carácter asociativo que acoge a profesionales de alto
nivel en activo relacionados con el sector de las Nuevas Tecnologías, la Seguridad de la información, de las
comunicaciones y del Derecho Tecnológico. La asociación está constituida por profesionales contrastados
en las diferentes especialidades informáticas; y ya se ha convertido en pieza básica e indispensable en
pericias para empresas, particulares y Administraciones de Justicia que han necesitado de nuestros servicios,
para conocer y recibir un dictamen profesional acerca de los diferentes tipos de delitos informáticos,
conflictos, incumplimientos y desavenencias, tasaciones y valoraciones en procesos particulares, judiciales,
leales, científicos y forenses.
Miembro en ISACA ®
octubre de 2011 a Actualidad
Con más de 100.000 miembros en 180 países, ISACA® (www.isaca.org) es un líder mundialmente
reconocido, proveedor de conocimiento, certificaciones, comunidad, apoyo y educación en seguridad y
aseguramiento de sistemas de información (SI), gobierno empresarial, administración de TI así como riesgos
y cumplimiento relacionados con TI.
Miembro en EC-Council
abril de 2011 a Actualidad
Página5
EC Council (International Council of Electronic Commerce Consultants) es el líder mundial en cursos de
seguridad de TI - Seguridad de la información, Seguridad en redes, Seguridad a nivel de sistemas, etc.
Colaborador en OWASP
julio de 2012 a noviembre de 2012
OWASP (acrónimo de Open Web Application Security Project, en inglés ‘Proyecto abierto de seguridad
de aplicaciones web’) es un proyecto de código abierto dedicado a determinar y combatir las causas que
hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y
gestiona los proyectos e infraestructura de OWASP.
Miembro en CCI
septiembre de 2013 a Actualidad
Es el primer centro de Ciberseguridad Industrial de estas características que nace desde la industria y sin
subvenciones, independiente y sin ánimo de lucro con el fin de impulsar y contribuir a la mejora de la
Ciberseguridad Industrial en España y Latinoamérica.
Educación
I.E.S. Virgen de la Encina
Técnico en Sistemas Microinformáticos y Redes, Informatics
Actividades y grupos: Equipo de futbol
2 recomendaciones disponibles previa solicitud
Idiomas
Inglés
Portugués
Español
(Competencia básica limitada)
(Competencia básica profesional)
(Competencia bilingüe o nativa)
Proyectos
Analyticmate
noviembre de 2014 a Actualidad
Miembros:Antonio González Castro, Javier Sanchez Ortiz, Ignacio Serrano, David López de Julio, José Manuel
García Pozo, Maria Rodríguez Pastor
Responsable y CO Fundador de Analyticmate, plataforma de software líder en la integración de modelos de
inteligencia y la recolección de gran cantidad de datos, ofreciendo una combinación de tecnología Big Data
y precio que permite a cualquier compañía, sin importar el tamaño o la ubicación de sus sistemas, disponer
de un entorno adecuado para desarrollar su seguridad, el seguimiento de sus indicadores de negocio y el
cumplimiento normativo.
Bidoop SOC & Bidoop Labs
septiembre de 2013 a Actualidad
Miembros:Antonio González Castro
Responsable de los Centro de Competencias Bidoop Soc y Bidoop Labs. Bidoop Soc se encarga de analizar
todos los incidentes de seguridad generados por Bidoop Security en su organización, todos estos incidentes
Página6
son monitorizados de manera segura desde nuestro centro de operaciones remoto. Desde el cual se le
informará sobre cualquier anomalía y/o se tomarán medidas para su resolución desde nuestro centro de
investigación Bidoop Labs. Bidoop SOC: - Monitorización de dispositivos - Respuesta ante incidentes Soporte técnico de seguridad - Servicio anti fraude - Vigilancia en internet Bidoop Labs: - Inteligencia
estratégica - Soluciones a medida - Investigación de vulnerabilidades - Análisis de malware - Soluciones de
seguridad
Bidoop Security - Big Data Security Intelligence
septiembre de 2013 a Actualidad
Miembros:Antonio González Castro
Responsable del desarrollo de Bidoop Security, diseñado para recoger información de los sistemas de la
organización y de fuentes de inteligencia externas, aportando el conocimiento necesario para realizar una
correlación avanzada e inteligente, con el objetivo de detectar amenazadas que los sistemas no pueden
detectar trabajando individualmente. Bidoop Security proporciona esta información uniendo la inteligencia
de la seguridad con el almacenamiento Big Data. - Análisis Forense - Detección de Fraude - Correlación
Avanzada - Cumplimiento Normativo - Detección y Análisis de Malware - Inteligencia de Seguridad
(Aprendizaje Automático) - Cibervigilancia
Centro de Hacking Ético - everis
noviembre de 2011 a agosto de 2013
Miembros:Antonio González Castro, Juan Antonio Calles García, Alexandre Rodriguez Domoslawsky, Mario
Ledo Hernansanz, Tomás Carrasco, Alberto Martin, Antonio de la Mata Martín
Responsable del Centro de Hacking Ético interno de everis, desde el cual se prestan los siguientes servicios
tanto a la compañia como terceras empresas: Auditorías: - Auditorías Web - Auditorías internas - Test
de penetración - Auditorías de APP móvil - Auditorías de PCI DSS - Auditorías de redes inalambricas
E-Crime: - Cibervigilancia - Servicios de antifraude - Análisis de robos y fuga de información Contramedidas Seguridad gestionada: - Análisis de reglas en dispositivos como Firewall/IPS/IDS... Correlación y análisis de eventos - Análisis e investigación forense - Bastionado de sistemas Formación: Charlas y conferencias - Campañas de concienciación
Implantación ISO 27001 - BT
febrero de 2011 a octubre de 2011
Miembros:Antonio González Castro
Responsable de la implantación de la ISO 27001 para BT Spain. Análisis de la Situación Actual y
Evaluación de la Seguridad: - Indetificación de las principales actividades empresariales, reflejándolas
en un diagrama de flujo - Selección de un alcance adecuado para el sistema, ya que el esfuerzo a la hora
de implementar el SGSI debe ser proporcional al tamaño del sistema a construir - En base a la Norma
ISO/IEC 27002:2005, comprobación de qué controles de dicha norma están implantados, y a qué nivel en
base a un checklist Análisis y Gestión de Riesgos: - Análisis y tratamiento de Riesgos Lanzamiento del
SGSI (Desarro de los procedimientos necesarios que permitan implantar los controles seleccionados): Definición de la Política de Seguridad, estableciendo de forma clara el enfoque de la política de actuación de
la compañía, el alcance y los objetivos globales - Recopilación de los documentos relativos a la seguridad,
Página7
existentes en la compañía - Elaboración y estructuración de los procedimientos de gestión y funcionamiento
del SGSI, que darán soporte a la Política de seguridad definida para la compañía - Desarrollo de una
bitácora de actividades en donde se van registrando los hitos alcanzados y las actividades que se están
desarrollando a lo largo del tiempo Implantación y Puesta en Marcha del SGSI (Poner en marcha las
políticas y procedimientos definidos en las fases previas, tomando previamente en consideración el necesario
aprovisionamiento de fondos y la asignación de responsables): - Implementación de un Plan de Tratamiento
del Riesgo que identifique las acciones, responsabilidades y prioridades de la Dirección para la gestión
de los riesgos de la seguridad - Implantar políticas y procedimientos del SGSI - Implantar los controles
seleccionados en el documento Declaración de Aplicabilidad Control y Revisión del SGSI
Oficina de Seguridad - Orange
noviembre de 2009 a diciembre de 2010
Miembros:Antonio González Castro, Alejandro Ocete Martín
Utilización de la herramienta de ITSM: Remedy. Utilización del módulo de Peticiones, Incidencias, Gestión
de Cambios y Gestión de Configuración Auditorías SOX Gestión del LDAP Corporativo Coordinación de
Parcheados de Seguridad Auditoría de Vulnerabilidades y Hacking Ético Análisis forense Ciclo de vida del
software seguro Soporte y Explotación de la herramienta de GDI (TIM) Revisión SOX de Logs de Acceso:
Explotación y Uso de Herramienta de Consola Centralizada de Logs: Arcsight Sistema de Prevención de
Intrusos (IPS): IBM Proventia Tratamiento y Gestión de Comunicaciones a nivel de firewalls y VPN
Intereses
Hacking, Seguridad, Big Data, Futbol, Tenis, Ski, Boxeo
Página8
Antonio González Castro
CO Founder at Analyticmate & Board Member at Pragsis
[email protected]
11 personas han recomendado a Antonio
"Antonio representa los dotes de mando y la facilidad para proporcionar soluciones a las necesidades de
sus clientes de una nueva nueva generación. Antonio tiene grandes conocimientos técnicos que le ayudan a
entender las necesidades de sus clientes. Persona de fácil trato y con agilidad para llevar al éxito cualquier
proyecto que se proponga."
— Pablo González Pérez, ha sido cliente de Antonio.
"Antonio esta muy capacitado en el ámbito de la seguridad informática, gran conocimiento y habilidades
en hacking ético. Nivel técnico y de liderazgo del equipo de trabajo. Capacidad para detectar las mejoras en
las organizaciones en las que colabora. Otra de sus cualidades es la de transmitir conocimientos al resto del
equipo para llevar el proyecto a buen puerto. Un gran experto en seguridad. Es muy positivo trabajar en el
mismo equipo con Antonio, por el continuo aprendizaje que puedes obtener en temas de seguridad y que son
tan cambiantes. No dudaría en contar con Antonio para mis proyectos de seguridad informática."
— Florencio Vallinot Tovar, System Team Leader, everis, ha trabajado directamente con Antonio en everis.
"Antonio realizó varias auditorías de seguridad en proyectos a mi cargo y he de decir que estas auditorias se
convirtieron en una oportunidad de aprender nuevas formas de trabajar que nos han permitido desarrollar de
forma segura. Antonio siempre saca tiempo para ayudar a un compañero y colabora para que la gente tome
conciencia de la importancia de la seguridad en las aplicaciones"
— Víctor Pérez Núñez, Arquitecto .NET, everis, ha trabajado con Antonio en everis.
"Antonio es un referente dentro de la seguridad informática y el hacking ético. Su nivel técnico y de liderazgo
del equipo de trabajo es clave para el éxito de los proyectos. Grandes cualidades para cualquier tipo de
enfoque dentro de los proyectos, ya sea técnico, documental, de gestión o formación."
— Mario Ledo Hernansanz, Solutions Assistant, everis, ha rendido cuentas a Antonio en everis.
"Antonio es un profesional muy capacitado en el ámbito de la seguridad informática. Tiene un amplio
conocimiento y habilidades en hacking ético y una capacidad extraordinaria para detectar oportunidades de
Página9
mejora en las organizaciones para las que colabora. Por otra parte tiene una gran capacidad de aprendizaje y
de superación en los marcos de referencia actuales y está en actualización constante de sus conocimientos."
— Álvaro Rodríguez de Roa Gómez, DIRECTOR DE SEGURIDAD DE LA INFORMACIÓN Y
GOBIERNO TI, SGS, estaba con otra empresa cuando trabajó con Antonio en everis.
"Antonio es de los profesionales de seguridad informática mas capacitados que he conocido. Además de
sus excelentes habilidades técnicas, sus capacidades interpersonales y de liderazgo hicieron de la relación
profesional un éxito total. Recomiendo a Antonio en ambos aspectos."
— Ariel Sucari, ha sido cliente de Antonio.
"Antonio cuenta con unas habilidades extraordinarias en el mundo de la seguridad informática. Es muy
riguroso y detallista en su trabajo, tiene una gran capacidad técnica. Muy recomendable para realizar
cualquier tipo de función relacionada con la seguridad informática. Es una gran persona."
— Angel López Luengo, ha sido cliente de Antonio.
"Antonio es un joven muy preparado con unas habilidades extraordinarias en Hacking Ético. Así mismo,
cuenta con una visión muy amplia de los principales marcos de referencia actuales en el mundo de TI.
Totalmente recomendable para ámbitos de seguridad de la información."
— Pedro Lara, Consulting Manager / Administrator, Itera Process Consulting S.L., estaba con otra empresa
cuando trabajó con Antonio en everis.
"Antonio es una "institución"en el análisis de vulnerabilidades de aplicaciones. Muy recomendable para
cualquier función relacionado con el hacking ético y la seguridad informatica"
— Alejandro Ocete Martín, Security Senior Consultant, everis, ha supervisado a Antonio en everis.
"Conozco a Antonio desde el curso ECSA v 4 realizado a mediados de este año y me llamó la atención
su capacidad y destreza para visualizar y abordar los casos de estudio desde un punto de vista novedoso
haciendo participe al resto de compañeros lo que indica habilidades de liderazgo, empatía, comunicación,
además de un profundo conocimiento técnico en el área de ciberseguridad . En cuanto a referencias tengo las
mejores como persona y profesional mencionando su capacidad de aprendizaje, superación, orientación al
logro y trabajo en equipo como profesional en el campo del hacking ético."
— Javier Alvarez Lopez, Student, Itera, estudió con Antonio en Itera.
"Antonio es un gran profesional con enormes capacidades y experiencia."
— serafin veiga solla, LOPD Consultant, computer auditor, analyst and software developer, Servicios
Técnicos Avanzados, estudió con Antonio en EC-COUNCIL.
Página10
Contacta con Antonio en LinkedIn
Página11