En ese episodio 8 de DragonJAR TV contamos con la participación de Alejandro Hernandez @nitr0usmx experimentado consultor de seguridad informática quien nos cuenta sus experiencias y consejos de consultoría en seguridad informática.
DragonJAR TV Episodio 8 - Experiencias en Consultoria
1. Tips y Experiencias de un Consultor
Informática
de Seguridad Inform tica
Alejandro Hernández
CISSP, GPEN, CobiT, ITIL
@nitr0usmx
http://www.brainoverflow.org
http://chatsubo-labs.blogspot.mx
2. Acerca de mi
CISSP, GPEN, ITIL, CobiT
Consultor Senior de Seguridad en
Proyectos de Consultoría con
México
Inglaterra
Corea del Sur
EUA
Ex-Big4 (
)
Gran parte de mi experiencia en consultoría
c0der (C, ASM, perl, etc.)
Nómada (últimamente)
(Home / Hotel / Airport / Train) - Office
Office
2
3. Contenido
¿Qué es consultoría y qué hace un consultor?
Lo mío es hacking y programación, ¿puedo ser consultor?
¿Qué estudiar?
Certificaciones
“Yo hackeo y programo”, ¿no me hables de Contabilidad?
Soft skills, más allá del “soy hacker y solo uso jeans y playeras
negras”
Tips para tu carrera profesional en Seguridad
Tips del día a día en la jungla de asfalto
¿Es bien pagado?
Anécdotas
Inspírate !
3
4. AVISO
TODA
ESTA
PRESENTACIÓN
ESTÁ
BASADA EN LO QUE HE VIVIDO, EN MI
EXPERIENCIA PERSONAL, ASÍ QUE TODO
LO AQUÍ EXPLOCADO NO ES UNA
“FÓRMULA”
A
SEGUIR.
A
MI
PERSONALMENTE ME HA FUNCIONADO,
QUIZÁS A TI NO TE FUNCIONE, SOLO
COMPARTO ANECDOTAS Y TIPS QUE YA
TÚ DECIDIRÁS SI APLICAS O NO EN TU
CARRERA PROFESIONAL.
4
5. ¿Qu es consultor a y qu
Qué consultoría qué
Qu
consultor?
hace un consultor?
5
6. ¿Qu es consultor a y qu
Qué consultoría qué
Qu
consultor?
hace un consultor?
6
7. ¿Qu es consultor a y qu
Qué consultoría qué
Qu
consultor?
hace un consultor?
7
8. ¿Qu es consultor a y qu
Qué consultoría qué
Qu
consultor?
hace un consultor?
Sin embargo…
http://www.urbandictionary.com/define.php?term=Consultant
8
9. ¿Qu es consultor a y qu
Qué consultoría qué
Qu
consultor?
hace un consultor?
9
10. ¿Qu es consultor a y qu
Qué consultoría qué
Qu
consultor?
hace un consultor?
En
10
/ Internet / banners / etc.
11. ¿Qu es consultor a y qu
Qué consultoría qué
Qu
consultor?
hace un consultor?
En la VIDA REAL
12. ¿Qu es consultor a y qu
Qué consultoría qué
Qu
consultor?
hace un consultor?
En la VIDA REAL
13. ¿Qu es consultor a y qu
Qué consultoría qué
Qu
consultor?
hace un consultor?
En la VIDA REAL
14. ¿Qu es consultor a y qu
Qué consultoría qué
Qu
consultor?
hace un consultor?
En la VIDA REAL
15. ¿Qu es consultor a y qu
Qué consultoría qué
Qu
consultor?
hace un consultor?
En la VIDA REAL
16. ¿Qu es consultor a y qu
Qué consultoría qué
Qu
consultor?
hace un consultor?
En la VIDA REAL
17. mío
programación,
Lo m o es hacking y programaci n,
¿puedo ser consultor?
consultor?
puedo
POR SUPUESTO, pero otro skills son
impredecibles
Despertar temprano
Ser social
Vestir formal
Puntualidad
Y sobretodo….
17
¡NO SER ARROGANTE Y
SENTIRSE EL MÁS
INTELIGENTE DEL EDIFICIO !
18. mío
programación,
Lo m o es hacking y programaci n,
¿puedo ser consultor?
consultor?
puedo
Existe un vasto Mundo allá afuera de la MATRIX
18
19. mío
programación,
Lo m o es hacking y programaci n,
¿puedo ser consultor?
consultor?
puedo
Considero que uno de los pasos más radicales es
el cambio de hábitos
19
20. ¿Qu estudiar?
Qué estudiar?
Qu
Me han hecho la misma pregunta un millón de
veces
Tema: necesito alguna carrera para poder ser buen hacker
https://www.underground.org.mx/index.php?topic=15814.0
Ingenierias, Pregunta para los que se desempeñan en esto
https://www.underground.org.mx/index.php?topic=28223.0
20
22. ¿Qu estudiar?
Qué estudiar?
Qu
AUTOESTUDIO
La información está en Internet gratuitamente
Tomar video-cursos en línea
Curso Back|Track 5
Impartido por @hlixaya
http://www.omhe.org | @OMHE_org
Slides de Conferencias recientes
SecurityTube
http://www.securitytube.net
22
25. Certificaciones
En 2008, me perdía con tantos acrónimos, CEH,
GI:JOES, CISOs, CISSP, etc. etc. etc. Así que hice
Mapa de la industria de la seguridad (2008, no
actualizada), pero las allí listadas siguen siendo las top
de la industria
http://brainoverflow.org/papers/MAPA%20DE%20LA%20INDUSTR
IA%20DE%20LA%20SEGURIDAD.txt
25
26. Certificaciones
Las más (re)conocidas en la industria de
Seguridad Informática son
26
CISSP (ISC2)
CEH (EC-Council)
GIAC (SANS Institute)
GPEN
G* (Forensics, Incident Handling, etc. etc. etc.)
ISACA
CISA / CISM
Otras más…
Mile2
OSSTMM
Etc.
34. Certificaciones
Recomendación personal
Leer el libro CISSP aunque no
se certifiquen
CobiT Foundations
Autoestudio
Examen en línea
www.isaca.org
SANS / GIAC
Muy caros
Pagados por compañías
34
35. Certificaciones
Y si no quieres pagar…
CertGen http://brainoverflow.org/certgen/
Ahora ya puedes llenarte de ‘apellidos’ después de tu nombre en
la firma de tu email, Linkedin, tarjetas de presentación, etc.
35
36. “Yo hackeo y programo , ¿no
Yo
programo”, no
Contabilidad?
me hables de Contabilidad?
Pensar más allá de la shell y exploits
Apertura y disponibilidad a aprender cosas
nuevas
Finanzas
Impuestos
Economía
Recursos Humanos
Marketing
Gobierno Corporativo
Equipos de trabajo interdiscliplinarios
36
37. “Yo hackeo y programo , ¿no
Yo
programo”, no
Contabilidad?
me hables de Contabilidad?
AMPLIO PANORAMA
Ver más que “sólo una pieza del rompecabezas”
Ves la seguridad desde otra perspectiva
Tener root shell o acceso total a una base de
datos
Con un amplio panorama
No es lo máximo, sépanlo
37
38. “Yo hackeo y programo , ¿no
Yo
programo”, no
Contabilidad?
me hables de Contabilidad?
Amprendes a ser más analítico
Visión de negocio
Y por ende, aprendes más de
Administración de Riesgos
Análisis cuantitativos / cualitativos
Muchas cosas más
KISS (Keep It Simple Stupid)
38
39. skills, s allá
soy
Soft skills, más all del “soy hacker
negras”
y solo uso jeans y playeras negras
VS
39
40. skills, s allá
soy
Soft skills, más all del “soy hacker
negras”
y solo uso jeans y playeras negras
Saluda a la gente normalmente
Con educación y seguridad
Que sean CEOs, CISOs, GI:JOEs no los hace más ni
menos
Puntualidad
No dar pretextos por llegar tarde
Pide una pequeña disculpa
Vestir bien
40
No llevar el traje ‘pistache’ a la oficina
41. Tips para tu carrera
profesional en Seguridad
Personalmente, recomiendo trabajar un tiempo en
alguna Big 4
41
42. Tips para tu carrera
profesional en Seguridad
Trampolín profesional
Aprendes y ganas experiencia
42
43. Tips para tu carrera
profesional en Seguridad
Alguna otra Big 4, 6, 7, 8, etc…
Cuentan con planes de carrera, p.e.
Consultor Junior
Consultor Senior
Supervisor
Gerente
Gerente Senior
Director
Socio
43
44. Tips para tu carrera
profesional en Seguridad
Manten tu Curriculum Vitae actualizado
Linkedin es el Facebook profesional, mantenlo
actualizado
¡ NO MIENTAS !
44
45. Tips del dia a dia en la
jungla de asfalto
No supongas cosas !
Más vale preguntar
Estar todos en el mismo acuerdo, misma idea, mismo
entendimiento
No te salgas del alcance en proyectos vendidos al
cliente
Podrías perder tiempo
Podrías disgustar / enojar al cliente
NO PROMETAS COSAS QUE NO HARÁS
Peor aún, problemas legales
45
47. ¿Es bien pagado?
Es
Pide el dinero que tu crees que mereces
Pide mucho $$$
No tengas miedo que la de Recursos Humanos se ría
Importantísimo el primer sueldo pues de aquí
comienzan los aumentos de sueldo por % porcentaje
47
48. ¿Es bien pagado?
Es
No te compares con los demás
En los aumentos
O si tiene ayuda porque es hijo del Director de Finanzas
Cada quién pelea por sus propios intereses
Deja de quejarte !
Sino estás a gusto, busca otro trabajo
No comiences a criticar a tus colegas !
48
49. Anécdotas
An cdotas
Planta Industrial a 30 mins en el desierto al norte
de México (Frontera con EUA)
Diseño de Arquitectura de Seguridad
Desinfección de Robots infectados con Stuxnet
49
53. Inspírate
Insp rate !
Música
Tu hacker / cyberpunk favorito
Hugh Jackman (Swordfish) XD
John Connor (Terminator)
Neo (Matrix)
Zero Cool (Hackers)
Etc. Etc. Etc.
53