Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013

Tips y Experiencias de un Consultor de

Seguridad Informática

Alejandro HernándezCISSP, GPEN, CobiT, ITIL

@nitr0usmx

http://www.brainoverflow.orghttp://chatsubo-labs.blogspot.mx

Acerca de mi

2

CISSP, GPEN, ITIL, CobiT

Consultor Senior de Seguridad en

Proyectos de Consultoría con México

Inglaterra

Corea del Sur

EUA

Ex-Big4 ( ) Gran parte de mi experiencia en consultoría

c0der (C, ASM, perl, etc.) Nómada (últimamente)

(Home / Hotel / Airport / Train) - Office

Office

Contenido

3

¿Qué es consultoría y qué hace un consultor? Lo mío es hacking y programación, ¿puedo ser consultor? ¿Qué estudiar? Certificaciones “Yo hackeo y programo”, ¿no me hables de Contabilidad? Soft skills, más allá del “soy hacker y solo uso jeans y playeras

negras” Tips para tu carrera profesional en Seguridad Tips del día a día en la jungla de asfalto ¿Es bien pagado? Anécdotas Inspírate !

AVISO

4

TODA ESTA PRESENTACIÓN ESTÁ BASADA EN LO QUE HE VIVIDO, EN MI EXPERIENCIA PERSONAL, ASÍ QUE TODO LO AQUÍ EXPLOCADO NO ES UNA “FÓRMULA” A SEGUIR. A MI PERSONALMENTE ME HA FUNCIONADO, QUIZÁS A TI NO TE FUNCIONE, SOLO COMPARTO ANECDOTAS Y TIPS QUE YA TÚ DECIDIRÁS SI APLICAS O NO EN TU CARRERA PROFESIONAL.

¿Qué es consultoría y qué hace un consultor?

5

¿Qué es consultoría y qué hace un consultor?

6

¿Qué es consultoría y qué hace un consultor?

7

¿Qué es consultoría y qué hace un consultor?

8

Sin embargo… http://www.urbandictionary.com/define.php?term=Consultant

¿Qué es consultoría y qué hace un consultor?

9

¿Qué es consultoría y qué hace un consultor?

10

En / Internet / banners / etc.

¿Qué es consultoría y qué hace un consultor? En la VIDA REAL

¿Qué es consultoría y qué hace un consultor? En la VIDA REAL

¿Qué es consultoría y qué hace un consultor? En la VIDA REAL

¿Qué es consultoría y qué hace un consultor? En la VIDA REAL

¿Qué es consultoría y qué hace un consultor? En la VIDA REAL

¿Qué es consultoría y qué hace un consultor? En la VIDA REAL

Lo mío es hacking y programación, ¿puedo ser consultor?

17

POR SUPUESTO, pero otro skills son impredecibles

Despertar temprano Ser social Vestir formal Puntualidad Y sobretodo….

¡NO SER ARROGANTE Y SENTIRSE EL MÁS INTELIGENTE DEL

EDIFICIO !

Lo mío es hacking y programación, ¿puedo ser consultor?

18

Existe un vasto Mundo allá afuera de la MATRIX

Lo mío es hacking y programación, ¿puedo ser consultor?

19

Considero que uno de los pasos más radicales es el cambio de hábitos

¿Qué estudiar?

20

Me han hecho la misma pregunta un millón de veces

Tema: necesito alguna carrera para poder ser buen hacker https://www.underground.org.mx/index.php?topic=15814.0

Ingenierias, Pregunta para los que se desempeñan en esto https://www.underground.org.mx/index.php?topic=28223.0

¿Qué estudiar?

21

Carreras en Universidades Ingeniería Ciencias Computacionales Redes

Complementado (necesariamente con AUTOESTIDIO)

¿Qué estudiar?

22

AUTOESTUDIO La información está en Internet gratuitamente Tomar video-cursos en línea Curso Back|Track 5 Impartido por @hlixaya http://www.omhe.org | @OMHE_org

Slides de Conferencias recientes

SecurityTube http://www.securitytube.net

¿Qué estudiar?

23

¿Qué estudiar?

24

Certificaciones

25

En 2008, me perdía con tantos acrónimos, CEH, GI:JOES, CISOs, CISSP, etc. etc. etc. Así que hice

Mapa de la industria de la seguridad (2008, no actualizada), pero las allí listadas siguen siendo las top de la industria

http://brainoverflow.org/papers/MAPA%20DE%20LA%20INDUSTRIA%20DE%20LA%20SEGURIDAD.txt

Certificaciones

26

Las más (re)conocidas en la industria de Seguridad Informática son

CISSP (ISC2)

CEH (EC-Council)

GIAC (SANS Institute)

GPEN G* (Forensics, Incident Handling, etc. etc. etc.)

ISACA CISA / CISM

Otras más… Mile2 OSSTMM Etc.

Certificaciones

27

Certificaciones

28

Según ISC2 (CISSP), SANS Institute y otros (DUEÑOS DEL NEGOCIO $$$)

Certificaciones

29

Certificaciones

30

CISSP https://www.isc2.org/cissp-why-certify/default.aspx

Certificaciones

31

¿Realmente sirven? Discusión interminable…

$$$ NEGOCIOS $$$

¿Subir de puesto? ¿Aumento de $alario?

Autoaprendizaje Reto Personal

Certificaciones

32

Certificaciones

33

Hace unas semanas hice una pequeña encuesta en el grupo ASIMX en Linkedin

Certificaciones

34

Recomendación personal Leer el libro CISSP aunque no

se certifiquen

CobiT Foundations Autoestudio Examen en línea www.isaca.org

SANS / GIAC Muy caros Pagados por compañías

Certificaciones

35

Y si no quieres pagar… CertGen http://brainoverflow.org/certgen/

Ahora ya puedes llenarte de ‘apellidos’ después de tu nombre en la firma de tu email, Linkedin, tarjetas de presentación, etc.

“Yo hackeo y programo”, ¿no me hables de Contabilidad?

36

Pensar más allá de la shell y exploits Apertura y disponibilidad a aprender cosas

nuevas Finanzas Impuestos Economía Recursos Humanos Marketing Gobierno Corporativo

Equipos de trabajo interdiscliplinarios

“Yo hackeo y programo”, ¿no me hables de Contabilidad?

37

AMPLIO PANORAMA Ver más que “sólo una pieza del rompecabezas”

Ves la seguridad desde otra perspectiva

Tener root shell o acceso total a una base de datos

Con un amplio panorama No es lo máximo, sépanlo

“Yo hackeo y programo”, ¿no me hables de Contabilidad?

38

Amprendes a ser más analítico

Visión de negocio

Y por ende, aprendes más de Administración de Riesgos Análisis cuantitativos / cualitativos Muchas cosas más

KISS (Keep It Simple Stupid)

Soft skills, más allá del “soy hacker y solo uso jeans y playeras negras”

39

VS

Soft skills, más allá del “soy hacker y solo uso jeans y playeras negras”

40

Saluda a la gente normalmente Con educación y seguridad Que sean CEOs, CISOs, GI:JOEs no los hace más ni

menos

Puntualidad No dar pretextos por llegar tarde Pide una pequeña disculpa

Vestir bien No llevar el traje ‘pistache’ a la oficina

Tips para tu carrera profesional en Seguridad

41

Personalmente, recomiendo trabajar un tiempo en alguna Big 4

Tips para tu carrera profesional en Seguridad

42

Trampolín profesional Aprendes y ganas experiencia

Tips para tu carrera profesional en Seguridad

43

Alguna otra Big 4, 6, 7, 8, etc… Cuentan con planes de carrera, p.e.

Consultor Junior Consultor Senior Supervisor Gerente Gerente Senior Director Socio

Tips para tu carrera profesional en Seguridad

44

Manten tu Curriculum Vitae actualizado Linkedin es el Facebook profesional, mantenlo

actualizado

¡ NO MIENTAS !

Tips del dia a dia en la jungla de asfalto

45

No supongas cosas ! Más vale preguntar Estar todos en el mismo acuerdo, misma idea, mismo

entendimiento

No te salgas del alcance en proyectos vendidos al cliente

Podrías perder tiempo Podrías disgustar / enojar al cliente NO PROMETAS COSAS QUE NO HARÁS Peor aún, problemas legales

46

¿Es bien pagado?

47

Pide el dinero que tu crees que mereces

Pide mucho $$$ No tengas miedo que la de Recursos Humanos se ría Importantísimo el primer sueldo pues de aquí

comienzan los aumentos de sueldo por % porcentaje

¿Es bien pagado?

48

No te compares con los demás En los aumentos O si tiene ayuda porque es hijo del Director de Finanzas

Cada quién pelea por sus propios intereses

Deja de quejarte ! Sino estás a gusto, busca otro trabajo No comiences a criticar a tus colegas !

Anécdotas

49

Planta Industrial a 30 mins en el desierto al norte de México (Frontera con EUA)

Diseño de Arquitectura de Seguridad Desinfección de Robots infectados con Stuxnet

Anécdotas

50

Pentest con un Banco Multinacional Defacement una semana después

Anécdotas

51

Problemas de Lenguaje en Corea del Sur

Anécdotas

52

Centro de Datos a una hora de México DF Alta Seguridad

Inspírate !

53

Música

Tu hacker / cyberpunk favorito Hugh Jackman (Swordfish) XD John Connor (Terminator) Neo (Matrix) Zero Cool (Hackers)

Etc. Etc. Etc.

Inspírate !

54

Inspírate !

55

Tyler Durden

Fight Club

Inspírate !

56

Inspírate !

57

- GRACIAS -

Alejandro HernándezCISSP, GPEN, CobiT, ITIL

@nitr0usmx

http://www.brainoverflow.orghttp://chatsubo-labs.blogspot.mx