DragonJAR TV Episodio 8 - Experiencias en Consultoria

TipsTipsTipsTips yyyy EEEExxxxppppeeeerrrriiiieeeennnncccciiiiaaaassss ddddeeee uuuunnnn CCCCoooonnnnssssuuuullllttttoooorrrr de Seguridad Informde Seguridad Informde Seguridad Informde Seguridad Informáticaticaticatica

Alejandro HernándezCISSP, GPEN, CobiT, ITIL

@nitr0usmx

http://www.brainoverflow.orghttp://chatsubo-labs.blogspot.mx

Acerca de miAcerca de miAcerca de miAcerca de mi

2

�

� CISSP, GPEN, ITIL, CobiT

� Consultor Senior de Seguridad en

� Proyectos de Consultoría con � México

� Inglaterra

� Corea del Sur

� EUA

� Ex-Big4 ( )� Gran parte de mi experiencia en consultoría

� c0der (C, ASM, perl, etc.)

� Nómada (últimamente)� (Home / Hotel / Airport / Train) - Office

� Office

ContenidoContenidoContenidoContenido

3

� ¿Qué es consultoría y qué hace un consultor?

� Lo mío es hacking y programación, ¿puedo ser consultor?

� ¿Qué estudiar?

� Certificaciones

� “Yo hackeo y programo”, ¿no me hables de Contabilidad?

� Soft skills, más allá del “soy hacker y solo uso jeans y playeras negras”

� Tips para tu carrera profesional en Seguridad

� Tips del día a día en la jungla de asfalto

� ¿Es bien pagado?

� Anécdotas

� Inspírate !

AVISOAVISOAVISOAVISO

4

TODA ESTA PRESENTACIÓN ESTÁBASADA EN LO QUE HE VIVIDO, EN MIEXPERIENCIA PERSONAL, ASÍ QUE TODOLO AQUÍ EXPLOCADO NO ES UNA“FÓRMULA” A SEGUIR. A MIPERSONALMENTE ME HA FUNCIONADO,QUIZÁS A TI NO TE FUNCIONE, SOLOCOMPARTO ANECDOTAS Y TIPS QUE YATÚ DECIDIRÁS SI APLICAS O NO EN TUCARRERA PROFESIONAL.

¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????

5


6


7


8

� Sin embargo…� http://www.urbandictionary.com/define.php?term=Consultant


9


10

� En / Internet / banners / etc.

¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????� En la VIDA REAL

Lo mLo mLo mLo mío es o es o es o es hackinghackinghackinghacking y programaciy programaciy programaciy programación, n, n, n, ¿puedo ser consultorpuedo ser consultorpuedo ser consultorpuedo ser consultor????

17

� POR SUPUESTO, pero otro skills son impredecibles

� Despertar temprano

� Ser social

� Vestir formal

� Puntualidad

� Y sobretodo….

¡NO SER ARROGANTE Y SENTIRSE EL MÁS

INTELIGENTE DEL EDIFICIO !


18

� Existe un vasto Mundo allá afuera de la MATRIX


19

� Considero que uno de los pasos más radicales es el cambio de hábitos

¿QuQuQuQué estudiarestudiarestudiarestudiar????

20

� Me han hecho la misma pregunta un millón de veces

� Tema: necesito alguna carrera para poder ser buen hacker

� https://www.underground.org.mx/index.php?topic=15814.0

� Ingenierias, Pregunta para los que se desempeñan en esto

� https://www.underground.org.mx/index.php?topic=28223.0


21

� Carreras en Universidades� Ingeniería

� Ciencias Computacionales

� Redes

� Complementado (necesariamente con AUTOESTIDIO)


22

� AUTOESTUDIO� La información está en Internet gratuitamente

� Tomar video-cursos en línea� Curso Back|Track 5

� Impartido por @hlixaya

� http://www.omhe.org | @OMHE_org

� Slides de Conferencias recientes

� SecurityTube

� http://www.securitytube.net


23


24

CertificacionesCertificacionesCertificacionesCertificaciones

25

� En 2008, me perdía con tantos acrónimos, CEH, GI:JOES, CISOs, CISSP, etc. etc. etc. Así que hice

� Mapa de la industria de la seguridad (2008, no actualizada), pero las allí listadas siguen siendo las top de la industria

� http://brainoverflow.org/papers/MAPA%20DE%20LA%20INDUSTR

IA%20DE%20LA%20SEGURIDAD.txt


26

� Las más (re)conocidas en la industria de Seguridad Informática son

� CISSP (ISC2)

� CEH (EC-Council)

� GIAC (SANS Institute)

� GPEN� G* (Forensics, Incident Handling, etc. etc. etc.)

� ISACA� CISA / CISM

� Otras más…� Mile2� OSSTMM� Etc.


27


28

� Según ISC2 (CISSP), SANS Institute y otros (DUEÑOS DEL NEGOCIO $$$)


29


30

� CISSP� https://www.isc2.org/cissp-why-certify/default.aspx


31

� ¿Realmente sirven?� Discusión interminable…

� $$$ NEGOCIOS $$$

� ¿Subir de puesto?

� ¿Aumento de $alario?

� Autoaprendizaje

� Reto Personal


32


33

� Hace unas semanas hice una pequeña encuesta en el grupo ASIMX en Linkedin


34

� Recomendación personal� Leer el libro CISSP aunque no

se certifiquen

� CobiT Foundations� Autoestudio� Examen en línea� www.isaca.org

� SANS / GIAC� Muy caros� Pagados por compañías


35

� Y si no quieres pagar… � CertGen http://brainoverflow.org/certgen/

� Ahora ya puedes llenarte de ‘apellidos’ después de tu nombre en la firma de tu email, Linkedin, tarjetas de presentación, etc.

“Yo Yo Yo Yo hackeohackeohackeohackeo y programoy programoy programoy programo”, , , , ¿no no no no me hables de Contabilidadme hables de Contabilidadme hables de Contabilidadme hables de Contabilidad????

36

� Pensar más allá de la shell y exploits� Apertura y disponibilidad a aprender cosas

nuevas� Finanzas

� Impuestos

� Economía

� Recursos Humanos

� Marketing

� Gobierno Corporativo

� Equipos de trabajo interdiscliplinarios


37

� AMPLIO PANORAMA

� Ver más que “sólo una pieza del rompecabezas”

� Ves la seguridad desde otra perspectiva

� Tener root shell o acceso total a una base de datos

� Con un amplio panorama

� No es lo máximo, sépanlo


38

� Amprendes a ser más analítico

� Visión de negocio

� Y por ende, aprendes más de� Administración de Riesgos

� Análisis cuantitativos / cualitativos

� Muchas cosas más

� KISS (Keep It Simple Stupid)

SoftSoftSoftSoft skillsskillsskillsskills, , , , mmmmás alls alls alls allá del del del del “soy soy soy soy hackerhackerhackerhackery solo uso y solo uso y solo uso y solo uso jeansjeansjeansjeans y playeras negrasy playeras negrasy playeras negrasy playeras negras”

39

� VS

SoftSoftSoftSoft skillsskillsskillsskills, , , , mmmmás alls alls alls allá del del del del “soy soy soy soy hackerhackerhackerhackery solo uso y solo uso y solo uso y solo uso jeansjeansjeansjeans y playeras negrasy playeras negrasy playeras negrasy playeras negras”

40

� Saluda a la gente normalmente� Con educación y seguridad

� Que sean CEOs, CISOs, GI:JOEs no los hace más ni menos

� Puntualidad� No dar pretextos por llegar tarde

� Pide una pequeña disculpa

� Vestir bien� No llevar el traje ‘pistache’ a la oficina

TipsTipsTipsTips para tu carrera para tu carrera para tu carrera para tu carrera profesional en profesional en profesional en profesional en SeguridadSeguridadSeguridadSeguridad

41

� Personalmente, recomiendo trabajar un tiempo en alguna Big 4


42

� Trampolín profesional

� Aprendes y ganas experiencia


43

� Alguna otra Big 4, 6, 7, 8, etc…� Cuentan con planes de carrera, p.e.

� Consultor Junior� Consultor Senior� Supervisor� Gerente� Gerente Senior� Director� Socio


44

� Manten tu Curriculum Vitae actualizado� Linkedin es el Facebook profesional, mantenlo

actualizado

� ¡ NO MIENTAS !

TipsTipsTipsTips del del del del diadiadiadia a a a a diadiadiadia en en en en la la la la jungla de asfaltojungla de asfaltojungla de asfaltojungla de asfalto

45

� No supongas cosas !� Más vale preguntar

� Estar todos en el mismo acuerdo, misma idea, mismo entendimiento

� No te salgas del alcance en proyectos vendidos al cliente

� Podrías perder tiempo

� Podrías disgustar / enojar al cliente

� NO PROMETAS COSAS QUE NO HARÁS

� Peor aún, problemas legales

¿Es bien pagado?Es bien pagado?Es bien pagado?Es bien pagado?

47

� Pide el dinero que tu crees que mereces

� Pide mucho $$$ � No tengas miedo que la de Recursos Humanos se ría

� Importantísimo el primer sueldo pues de aquí comienzan los aumentos de sueldo por % porcentaje

¿Es bien pagado?Es bien pagado?Es bien pagado?Es bien pagado?

48

� No te compares con los demás� En los aumentos

� O si tiene ayuda porque es hijo del Director de Finanzas

� Cada quién pelea por sus propios intereses

� Deja de quejarte !� Sino estás a gusto, busca otro trabajo

� No comiences a criticar a tus colegas !

AnAnAnAnécdotascdotascdotascdotas

49

� Planta Industrial a 30 mins en el desierto al norte de México (Frontera con EUA)

� Diseño de Arquitectura de Seguridad

� Desinfección de Robots infectados con Stuxnet


50

� Pentest con un Banco Multinacional� Defacement una semana después


51

� Problemas de Lenguaje en Corea del Sur


52

� Centro de Datos a una hora de México DF� Alta Seguridad

InspInspInspInspírate !rate !rate !rate !

53

� Música

� Tu hacker / cyberpunk favorito� Hugh Jackman (Swordfish) XD

� John Connor (Terminator)

� Neo (Matrix)

� Zero Cool (Hackers)

� Etc. Etc. Etc.


54


55

Tyler DurdenFight Club


56


57

−−−− GRACIAS GRACIAS GRACIAS GRACIAS −−−−

Alejandro HernándezCISSP, GPEN, CobiT, ITIL

@nitr0usmx

http://www.brainoverflow.orghttp://chatsubo-labs.blogspot.mx

DragonJAR TV Episodio 8 - Experiencias en Consultoria

Technology

Transcript of DragonJAR TV Episodio 8 - Experiencias en Consultoria