Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

DragonJAR TV Episodio 8 - Experiencias en Consultoria

2,724 views

Published on

En ese episodio 8 de DragonJAR TV contamos con la participación de Alejandro Hernandez @nitr0usmx experimentado consultor de seguridad informática quien nos cuenta sus experiencias y consejos de consultoría en seguridad informática.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

DragonJAR TV Episodio 8 - Experiencias en Consultoria

  1. 1. Tips y Experiencias de un Consultor Informática de Seguridad Inform tica Alejandro Hernández CISSP, GPEN, CobiT, ITIL @nitr0usmx http://www.brainoverflow.org http://chatsubo-labs.blogspot.mx
  2. 2. Acerca de mi CISSP, GPEN, ITIL, CobiT Consultor Senior de Seguridad en Proyectos de Consultoría con México Inglaterra Corea del Sur EUA Ex-Big4 ( ) Gran parte de mi experiencia en consultoría c0der (C, ASM, perl, etc.) Nómada (últimamente) (Home / Hotel / Airport / Train) - Office Office 2
  3. 3. Contenido ¿Qué es consultoría y qué hace un consultor? Lo mío es hacking y programación, ¿puedo ser consultor? ¿Qué estudiar? Certificaciones “Yo hackeo y programo”, ¿no me hables de Contabilidad? Soft skills, más allá del “soy hacker y solo uso jeans y playeras negras” Tips para tu carrera profesional en Seguridad Tips del día a día en la jungla de asfalto ¿Es bien pagado? Anécdotas Inspírate ! 3
  4. 4. AVISO TODA ESTA PRESENTACIÓN ESTÁ BASADA EN LO QUE HE VIVIDO, EN MI EXPERIENCIA PERSONAL, ASÍ QUE TODO LO AQUÍ EXPLOCADO NO ES UNA “FÓRMULA” A SEGUIR. A MI PERSONALMENTE ME HA FUNCIONADO, QUIZÁS A TI NO TE FUNCIONE, SOLO COMPARTO ANECDOTAS Y TIPS QUE YA TÚ DECIDIRÁS SI APLICAS O NO EN TU CARRERA PROFESIONAL. 4
  5. 5. ¿Qu es consultor a y qu Qué consultoría qué Qu consultor? hace un consultor? 5
  6. 6. ¿Qu es consultor a y qu Qué consultoría qué Qu consultor? hace un consultor? 6
  7. 7. ¿Qu es consultor a y qu Qué consultoría qué Qu consultor? hace un consultor? 7
  8. 8. ¿Qu es consultor a y qu Qué consultoría qué Qu consultor? hace un consultor? Sin embargo… http://www.urbandictionary.com/define.php?term=Consultant 8
  9. 9. ¿Qu es consultor a y qu Qué consultoría qué Qu consultor? hace un consultor? 9
  10. 10. ¿Qu es consultor a y qu Qué consultoría qué Qu consultor? hace un consultor? En 10 / Internet / banners / etc.
  11. 11. ¿Qu es consultor a y qu Qué consultoría qué Qu consultor? hace un consultor? En la VIDA REAL
  12. 12. ¿Qu es consultor a y qu Qué consultoría qué Qu consultor? hace un consultor? En la VIDA REAL
  13. 13. ¿Qu es consultor a y qu Qué consultoría qué Qu consultor? hace un consultor? En la VIDA REAL
  14. 14. ¿Qu es consultor a y qu Qué consultoría qué Qu consultor? hace un consultor? En la VIDA REAL
  15. 15. ¿Qu es consultor a y qu Qué consultoría qué Qu consultor? hace un consultor? En la VIDA REAL
  16. 16. ¿Qu es consultor a y qu Qué consultoría qué Qu consultor? hace un consultor? En la VIDA REAL
  17. 17. mío programación, Lo m o es hacking y programaci n, ¿puedo ser consultor? consultor? puedo POR SUPUESTO, pero otro skills son impredecibles Despertar temprano Ser social Vestir formal Puntualidad Y sobretodo…. 17 ¡NO SER ARROGANTE Y SENTIRSE EL MÁS INTELIGENTE DEL EDIFICIO !
  18. 18. mío programación, Lo m o es hacking y programaci n, ¿puedo ser consultor? consultor? puedo Existe un vasto Mundo allá afuera de la MATRIX 18
  19. 19. mío programación, Lo m o es hacking y programaci n, ¿puedo ser consultor? consultor? puedo Considero que uno de los pasos más radicales es el cambio de hábitos 19
  20. 20. ¿Qu estudiar? Qué estudiar? Qu Me han hecho la misma pregunta un millón de veces Tema: necesito alguna carrera para poder ser buen hacker https://www.underground.org.mx/index.php?topic=15814.0 Ingenierias, Pregunta para los que se desempeñan en esto https://www.underground.org.mx/index.php?topic=28223.0 20
  21. 21. ¿Qu estudiar? Qué estudiar? Qu Carreras en Universidades Ingeniería Ciencias Computacionales Redes Complementado (necesariamente con AUTOESTIDIO) 21
  22. 22. ¿Qu estudiar? Qué estudiar? Qu AUTOESTUDIO La información está en Internet gratuitamente Tomar video-cursos en línea Curso Back|Track 5 Impartido por @hlixaya http://www.omhe.org | @OMHE_org Slides de Conferencias recientes SecurityTube http://www.securitytube.net 22
  23. 23. ¿Qu estudiar? Qué estudiar? Qu 23
  24. 24. ¿Qu estudiar? Qué estudiar? Qu 24
  25. 25. Certificaciones En 2008, me perdía con tantos acrónimos, CEH, GI:JOES, CISOs, CISSP, etc. etc. etc. Así que hice Mapa de la industria de la seguridad (2008, no actualizada), pero las allí listadas siguen siendo las top de la industria http://brainoverflow.org/papers/MAPA%20DE%20LA%20INDUSTR IA%20DE%20LA%20SEGURIDAD.txt 25
  26. 26. Certificaciones Las más (re)conocidas en la industria de Seguridad Informática son 26 CISSP (ISC2) CEH (EC-Council) GIAC (SANS Institute) GPEN G* (Forensics, Incident Handling, etc. etc. etc.) ISACA CISA / CISM Otras más… Mile2 OSSTMM Etc.
  27. 27. Certificaciones 27
  28. 28. Certificaciones Según ISC2 (CISSP), SANS Institute y otros (DUEÑOS DEL NEGOCIO $$$) 28
  29. 29. Certificaciones 29
  30. 30. Certificaciones CISSP https://www.isc2.org/cissp-why-certify/default.aspx 30
  31. 31. Certificaciones ¿Realmente sirven? Discusión interminable… $$$ NEGOCIOS $$$ ¿Subir de puesto? ¿Aumento de $alario? Autoaprendizaje Reto Personal 31
  32. 32. Certificaciones 32
  33. 33. Certificaciones Hace unas semanas hice una pequeña encuesta en el grupo ASIMX en Linkedin 33
  34. 34. Certificaciones Recomendación personal Leer el libro CISSP aunque no se certifiquen CobiT Foundations Autoestudio Examen en línea www.isaca.org SANS / GIAC Muy caros Pagados por compañías 34
  35. 35. Certificaciones Y si no quieres pagar… CertGen http://brainoverflow.org/certgen/ Ahora ya puedes llenarte de ‘apellidos’ después de tu nombre en la firma de tu email, Linkedin, tarjetas de presentación, etc. 35
  36. 36. “Yo hackeo y programo , ¿no Yo programo”, no Contabilidad? me hables de Contabilidad? Pensar más allá de la shell y exploits Apertura y disponibilidad a aprender cosas nuevas Finanzas Impuestos Economía Recursos Humanos Marketing Gobierno Corporativo Equipos de trabajo interdiscliplinarios 36
  37. 37. “Yo hackeo y programo , ¿no Yo programo”, no Contabilidad? me hables de Contabilidad? AMPLIO PANORAMA Ver más que “sólo una pieza del rompecabezas” Ves la seguridad desde otra perspectiva Tener root shell o acceso total a una base de datos Con un amplio panorama No es lo máximo, sépanlo 37
  38. 38. “Yo hackeo y programo , ¿no Yo programo”, no Contabilidad? me hables de Contabilidad? Amprendes a ser más analítico Visión de negocio Y por ende, aprendes más de Administración de Riesgos Análisis cuantitativos / cualitativos Muchas cosas más KISS (Keep It Simple Stupid) 38
  39. 39. skills, s allá soy Soft skills, más all del “soy hacker negras” y solo uso jeans y playeras negras VS 39
  40. 40. skills, s allá soy Soft skills, más all del “soy hacker negras” y solo uso jeans y playeras negras Saluda a la gente normalmente Con educación y seguridad Que sean CEOs, CISOs, GI:JOEs no los hace más ni menos Puntualidad No dar pretextos por llegar tarde Pide una pequeña disculpa Vestir bien 40 No llevar el traje ‘pistache’ a la oficina
  41. 41. Tips para tu carrera profesional en Seguridad Personalmente, recomiendo trabajar un tiempo en alguna Big 4 41
  42. 42. Tips para tu carrera profesional en Seguridad Trampolín profesional Aprendes y ganas experiencia 42
  43. 43. Tips para tu carrera profesional en Seguridad Alguna otra Big 4, 6, 7, 8, etc… Cuentan con planes de carrera, p.e. Consultor Junior Consultor Senior Supervisor Gerente Gerente Senior Director Socio 43
  44. 44. Tips para tu carrera profesional en Seguridad Manten tu Curriculum Vitae actualizado Linkedin es el Facebook profesional, mantenlo actualizado ¡ NO MIENTAS ! 44
  45. 45. Tips del dia a dia en la jungla de asfalto No supongas cosas ! Más vale preguntar Estar todos en el mismo acuerdo, misma idea, mismo entendimiento No te salgas del alcance en proyectos vendidos al cliente Podrías perder tiempo Podrías disgustar / enojar al cliente NO PROMETAS COSAS QUE NO HARÁS Peor aún, problemas legales 45
  46. 46. 46
  47. 47. ¿Es bien pagado? Es Pide el dinero que tu crees que mereces Pide mucho $$$ No tengas miedo que la de Recursos Humanos se ría Importantísimo el primer sueldo pues de aquí comienzan los aumentos de sueldo por % porcentaje 47
  48. 48. ¿Es bien pagado? Es No te compares con los demás En los aumentos O si tiene ayuda porque es hijo del Director de Finanzas Cada quién pelea por sus propios intereses Deja de quejarte ! Sino estás a gusto, busca otro trabajo No comiences a criticar a tus colegas ! 48
  49. 49. Anécdotas An cdotas Planta Industrial a 30 mins en el desierto al norte de México (Frontera con EUA) Diseño de Arquitectura de Seguridad Desinfección de Robots infectados con Stuxnet 49
  50. 50. Anécdotas An cdotas Pentest con un Banco Multinacional Defacement una semana después 50
  51. 51. Anécdotas An cdotas Problemas de Lenguaje en Corea del Sur 51
  52. 52. Anécdotas An cdotas Centro de Datos a una hora de México DF Alta Seguridad 52
  53. 53. Inspírate Insp rate ! Música Tu hacker / cyberpunk favorito Hugh Jackman (Swordfish) XD John Connor (Terminator) Neo (Matrix) Zero Cool (Hackers) Etc. Etc. Etc. 53
  54. 54. Inspírate Insp rate ! 54
  55. 55. Inspírate Insp rate ! Tyler Durden Fight Club 55
  56. 56. Inspírate Insp rate ! 56
  57. 57. Inspírate Insp rate ! 57
  58. 58. − GRACIAS − Alejandro Hernández CISSP, GPEN, CobiT, ITIL @nitr0usmx http://www.brainoverflow.org http://chatsubo-labs.blogspot.mx

×