dragonjar tv episodio 8 - experiencias en consultoria
Post on 26-May-2015
1.897 Views
Preview:
DESCRIPTION
TRANSCRIPT
TipsTipsTipsTips yyyy EEEExxxxppppeeeerrrriiiieeeennnncccciiiiaaaassss ddddeeee uuuunnnn CCCCoooonnnnssssuuuullllttttoooorrrr de Seguridad Informde Seguridad Informde Seguridad Informde Seguridad Informáticaticaticatica
Alejandro HernándezCISSP, GPEN, CobiT, ITIL
@nitr0usmx
http://www.brainoverflow.orghttp://chatsubo-labs.blogspot.mx
Acerca de miAcerca de miAcerca de miAcerca de mi
2
�
� CISSP, GPEN, ITIL, CobiT
� Consultor Senior de Seguridad en
� Proyectos de Consultoría con � México
� Inglaterra
� Corea del Sur
� EUA
� Ex-Big4 ( )� Gran parte de mi experiencia en consultoría
� c0der (C, ASM, perl, etc.)
� Nómada (últimamente)� (Home / Hotel / Airport / Train) - Office
� Office
ContenidoContenidoContenidoContenido
3
� ¿Qué es consultoría y qué hace un consultor?
� Lo mío es hacking y programación, ¿puedo ser consultor?
� ¿Qué estudiar?
� Certificaciones
� “Yo hackeo y programo”, ¿no me hables de Contabilidad?
� Soft skills, más allá del “soy hacker y solo uso jeans y playeras negras”
� Tips para tu carrera profesional en Seguridad
� Tips del día a día en la jungla de asfalto
� ¿Es bien pagado?
� Anécdotas
� Inspírate !
AVISOAVISOAVISOAVISO
4
TODA ESTA PRESENTACIÓN ESTÁBASADA EN LO QUE HE VIVIDO, EN MIEXPERIENCIA PERSONAL, ASÍ QUE TODOLO AQUÍ EXPLOCADO NO ES UNA“FÓRMULA” A SEGUIR. A MIPERSONALMENTE ME HA FUNCIONADO,QUIZÁS A TI NO TE FUNCIONE, SOLOCOMPARTO ANECDOTAS Y TIPS QUE YATÚ DECIDIRÁS SI APLICAS O NO EN TUCARRERA PROFESIONAL.
¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????
5
¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????
6
¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????
7
¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????
8
� Sin embargo…� http://www.urbandictionary.com/define.php?term=Consultant
¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????
9
¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????
10
� En / Internet / banners / etc.
¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????� En la VIDA REAL
¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????� En la VIDA REAL
¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????� En la VIDA REAL
¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????� En la VIDA REAL
¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????� En la VIDA REAL
¿QuQuQuQué es consultores consultores consultores consultoría y qua y qua y qua y quéhace un consultorhace un consultorhace un consultorhace un consultor????� En la VIDA REAL
Lo mLo mLo mLo mío es o es o es o es hackinghackinghackinghacking y programaciy programaciy programaciy programación, n, n, n, ¿puedo ser consultorpuedo ser consultorpuedo ser consultorpuedo ser consultor????
17
� POR SUPUESTO, pero otro skills son impredecibles
� Despertar temprano
� Ser social
� Vestir formal
� Puntualidad
� Y sobretodo….
¡NO SER ARROGANTE Y SENTIRSE EL MÁS
INTELIGENTE DEL EDIFICIO !
Lo mLo mLo mLo mío es o es o es o es hackinghackinghackinghacking y programaciy programaciy programaciy programación, n, n, n, ¿puedo ser consultorpuedo ser consultorpuedo ser consultorpuedo ser consultor????
18
� Existe un vasto Mundo allá afuera de la MATRIX
Lo mLo mLo mLo mío es o es o es o es hackinghackinghackinghacking y programaciy programaciy programaciy programación, n, n, n, ¿puedo ser consultorpuedo ser consultorpuedo ser consultorpuedo ser consultor????
19
� Considero que uno de los pasos más radicales es el cambio de hábitos
¿QuQuQuQué estudiarestudiarestudiarestudiar????
20
� Me han hecho la misma pregunta un millón de veces
� Tema: necesito alguna carrera para poder ser buen hacker
� https://www.underground.org.mx/index.php?topic=15814.0
� Ingenierias, Pregunta para los que se desempeñan en esto
� https://www.underground.org.mx/index.php?topic=28223.0
¿QuQuQuQué estudiarestudiarestudiarestudiar????
21
� Carreras en Universidades� Ingeniería
� Ciencias Computacionales
� Redes
� Complementado (necesariamente con AUTOESTIDIO)
¿QuQuQuQué estudiarestudiarestudiarestudiar????
22
� AUTOESTUDIO� La información está en Internet gratuitamente
� Tomar video-cursos en línea� Curso Back|Track 5
� Impartido por @hlixaya
� http://www.omhe.org | @OMHE_org
� Slides de Conferencias recientes
� SecurityTube
� http://www.securitytube.net
¿QuQuQuQué estudiarestudiarestudiarestudiar????
23
¿QuQuQuQué estudiarestudiarestudiarestudiar????
24
CertificacionesCertificacionesCertificacionesCertificaciones
25
� En 2008, me perdía con tantos acrónimos, CEH, GI:JOES, CISOs, CISSP, etc. etc. etc. Así que hice
� Mapa de la industria de la seguridad (2008, no actualizada), pero las allí listadas siguen siendo las top de la industria
� http://brainoverflow.org/papers/MAPA%20DE%20LA%20INDUSTR
IA%20DE%20LA%20SEGURIDAD.txt
CertificacionesCertificacionesCertificacionesCertificaciones
26
� Las más (re)conocidas en la industria de Seguridad Informática son
� CISSP (ISC2)
� CEH (EC-Council)
� GIAC (SANS Institute)
� GPEN� G* (Forensics, Incident Handling, etc. etc. etc.)
� ISACA� CISA / CISM
� Otras más…� Mile2� OSSTMM� Etc.
CertificacionesCertificacionesCertificacionesCertificaciones
27
CertificacionesCertificacionesCertificacionesCertificaciones
28
� Según ISC2 (CISSP), SANS Institute y otros (DUEÑOS DEL NEGOCIO $$$)
CertificacionesCertificacionesCertificacionesCertificaciones
29
CertificacionesCertificacionesCertificacionesCertificaciones
30
� CISSP� https://www.isc2.org/cissp-why-certify/default.aspx
CertificacionesCertificacionesCertificacionesCertificaciones
31
� ¿Realmente sirven?� Discusión interminable…
� $$$ NEGOCIOS $$$
� ¿Subir de puesto?
� ¿Aumento de $alario?
� Autoaprendizaje
� Reto Personal
CertificacionesCertificacionesCertificacionesCertificaciones
32
CertificacionesCertificacionesCertificacionesCertificaciones
33
� Hace unas semanas hice una pequeña encuesta en el grupo ASIMX en Linkedin
CertificacionesCertificacionesCertificacionesCertificaciones
34
� Recomendación personal� Leer el libro CISSP aunque no
se certifiquen
� CobiT Foundations� Autoestudio� Examen en línea� www.isaca.org
� SANS / GIAC� Muy caros� Pagados por compañías
CertificacionesCertificacionesCertificacionesCertificaciones
35
� Y si no quieres pagar… � CertGen http://brainoverflow.org/certgen/
� Ahora ya puedes llenarte de ‘apellidos’ después de tu nombre en la firma de tu email, Linkedin, tarjetas de presentación, etc.
“Yo Yo Yo Yo hackeohackeohackeohackeo y programoy programoy programoy programo”, , , , ¿no no no no me hables de Contabilidadme hables de Contabilidadme hables de Contabilidadme hables de Contabilidad????
36
� Pensar más allá de la shell y exploits� Apertura y disponibilidad a aprender cosas
nuevas� Finanzas
� Impuestos
� Economía
� Recursos Humanos
� Marketing
� Gobierno Corporativo
� Equipos de trabajo interdiscliplinarios
“Yo Yo Yo Yo hackeohackeohackeohackeo y programoy programoy programoy programo”, , , , ¿no no no no me hables de Contabilidadme hables de Contabilidadme hables de Contabilidadme hables de Contabilidad????
37
� AMPLIO PANORAMA
� Ver más que “sólo una pieza del rompecabezas”
� Ves la seguridad desde otra perspectiva
� Tener root shell o acceso total a una base de datos
� Con un amplio panorama
� No es lo máximo, sépanlo
“Yo Yo Yo Yo hackeohackeohackeohackeo y programoy programoy programoy programo”, , , , ¿no no no no me hables de Contabilidadme hables de Contabilidadme hables de Contabilidadme hables de Contabilidad????
38
� Amprendes a ser más analítico
� Visión de negocio
� Y por ende, aprendes más de� Administración de Riesgos
� Análisis cuantitativos / cualitativos
� Muchas cosas más
� KISS (Keep It Simple Stupid)
SoftSoftSoftSoft skillsskillsskillsskills, , , , mmmmás alls alls alls allá del del del del “soy soy soy soy hackerhackerhackerhackery solo uso y solo uso y solo uso y solo uso jeansjeansjeansjeans y playeras negrasy playeras negrasy playeras negrasy playeras negras”
39
� VS
SoftSoftSoftSoft skillsskillsskillsskills, , , , mmmmás alls alls alls allá del del del del “soy soy soy soy hackerhackerhackerhackery solo uso y solo uso y solo uso y solo uso jeansjeansjeansjeans y playeras negrasy playeras negrasy playeras negrasy playeras negras”
40
� Saluda a la gente normalmente� Con educación y seguridad
� Que sean CEOs, CISOs, GI:JOEs no los hace más ni menos
� Puntualidad� No dar pretextos por llegar tarde
� Pide una pequeña disculpa
� Vestir bien� No llevar el traje ‘pistache’ a la oficina
TipsTipsTipsTips para tu carrera para tu carrera para tu carrera para tu carrera profesional en profesional en profesional en profesional en SeguridadSeguridadSeguridadSeguridad
41
� Personalmente, recomiendo trabajar un tiempo en alguna Big 4
TipsTipsTipsTips para tu carrera para tu carrera para tu carrera para tu carrera profesional en profesional en profesional en profesional en SeguridadSeguridadSeguridadSeguridad
42
� Trampolín profesional
� Aprendes y ganas experiencia
TipsTipsTipsTips para tu carrera para tu carrera para tu carrera para tu carrera profesional en profesional en profesional en profesional en SeguridadSeguridadSeguridadSeguridad
43
� Alguna otra Big 4, 6, 7, 8, etc…� Cuentan con planes de carrera, p.e.
� Consultor Junior� Consultor Senior� Supervisor� Gerente� Gerente Senior� Director� Socio
TipsTipsTipsTips para tu carrera para tu carrera para tu carrera para tu carrera profesional en profesional en profesional en profesional en SeguridadSeguridadSeguridadSeguridad
44
� Manten tu Curriculum Vitae actualizado� Linkedin es el Facebook profesional, mantenlo
actualizado
� ¡ NO MIENTAS !
TipsTipsTipsTips del del del del diadiadiadia a a a a diadiadiadia en en en en la la la la jungla de asfaltojungla de asfaltojungla de asfaltojungla de asfalto
45
� No supongas cosas !� Más vale preguntar
� Estar todos en el mismo acuerdo, misma idea, mismo entendimiento
� No te salgas del alcance en proyectos vendidos al cliente
� Podrías perder tiempo
� Podrías disgustar / enojar al cliente
� NO PROMETAS COSAS QUE NO HARÁS
� Peor aún, problemas legales
46
¿Es bien pagado?Es bien pagado?Es bien pagado?Es bien pagado?
47
� Pide el dinero que tu crees que mereces
� Pide mucho $$$ � No tengas miedo que la de Recursos Humanos se ría
� Importantísimo el primer sueldo pues de aquí comienzan los aumentos de sueldo por % porcentaje
¿Es bien pagado?Es bien pagado?Es bien pagado?Es bien pagado?
48
� No te compares con los demás� En los aumentos
� O si tiene ayuda porque es hijo del Director de Finanzas
� Cada quién pelea por sus propios intereses
� Deja de quejarte !� Sino estás a gusto, busca otro trabajo
� No comiences a criticar a tus colegas !
AnAnAnAnécdotascdotascdotascdotas
49
� Planta Industrial a 30 mins en el desierto al norte de México (Frontera con EUA)
� Diseño de Arquitectura de Seguridad
� Desinfección de Robots infectados con Stuxnet
AnAnAnAnécdotascdotascdotascdotas
50
� Pentest con un Banco Multinacional� Defacement una semana después
AnAnAnAnécdotascdotascdotascdotas
51
� Problemas de Lenguaje en Corea del Sur
AnAnAnAnécdotascdotascdotascdotas
52
� Centro de Datos a una hora de México DF� Alta Seguridad
InspInspInspInspírate !rate !rate !rate !
53
� Música
� Tu hacker / cyberpunk favorito� Hugh Jackman (Swordfish) XD
� John Connor (Terminator)
� Neo (Matrix)
� Zero Cool (Hackers)
� Etc. Etc. Etc.
InspInspInspInspírate !rate !rate !rate !
54
InspInspInspInspírate !rate !rate !rate !
55
Tyler DurdenFight Club
InspInspInspInspírate !rate !rate !rate !
56
InspInspInspInspírate !rate !rate !rate !
57
−−−− GRACIAS GRACIAS GRACIAS GRACIAS −−−−
Alejandro HernándezCISSP, GPEN, CobiT, ITIL
@nitr0usmx
http://www.brainoverflow.orghttp://chatsubo-labs.blogspot.mx
top related