tips y experiencias de un consultor en seguridad informática - campus party colombia 2013
DESCRIPTION
En esta charla compartirá con el público interesado tips que le han funcionado personalmente sobre cómo comenzar una carrera, qué estudiar, qué hacer y qué no hacer como consultor en la industria de la seguridad informática. Por otro lado, compartirá experiencias (buenas, graciosas, raras y malas) que ha vivido a lo largo de sus últimos cinco años de carrera profesional en la industria, mostrando los pros y contras de trabajar como consultor en esta industria.TRANSCRIPT
![Page 1: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/1.jpg)
Tips y Experiencias de un Consultor de
Seguridad Informática
Alejandro HernándezCISSP, GPEN, CobiT, ITIL
@nitr0usmx
http://www.brainoverflow.orghttp://chatsubo-labs.blogspot.mx
![Page 2: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/2.jpg)
Acerca de mi
2
CISSP, GPEN, ITIL, CobiT
Consultor Senior de Seguridad en
Proyectos de Consultoría con México
Inglaterra
Corea del Sur
EUA
Ex-Big4 ( ) Gran parte de mi experiencia en consultoría
c0der (C, ASM, perl, etc.) Nómada (últimamente)
(Home / Hotel / Airport / Train) - Office
Office
![Page 3: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/3.jpg)
Contenido
3
¿Qué es consultoría y qué hace un consultor? Lo mío es hacking y programación, ¿puedo ser consultor? ¿Qué estudiar? Certificaciones “Yo hackeo y programo”, ¿no me hables de Contabilidad? Soft skills, más allá del “soy hacker y solo uso jeans y playeras
negras” Tips para tu carrera profesional en Seguridad Tips del día a día en la jungla de asfalto ¿Es bien pagado? Anécdotas Inspírate !
![Page 4: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/4.jpg)
AVISO
4
TODA ESTA PRESENTACIÓN ESTÁ BASADA EN LO QUE HE VIVIDO, EN MI EXPERIENCIA PERSONAL, ASÍ QUE TODO LO AQUÍ EXPLOCADO NO ES UNA “FÓRMULA” A SEGUIR. A MI PERSONALMENTE ME HA FUNCIONADO, QUIZÁS A TI NO TE FUNCIONE, SOLO COMPARTO ANECDOTAS Y TIPS QUE YA TÚ DECIDIRÁS SI APLICAS O NO EN TU CARRERA PROFESIONAL.
![Page 5: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/5.jpg)
¿Qué es consultoría y qué hace un consultor?
5
![Page 6: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/6.jpg)
¿Qué es consultoría y qué hace un consultor?
6
![Page 7: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/7.jpg)
¿Qué es consultoría y qué hace un consultor?
7
![Page 8: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/8.jpg)
¿Qué es consultoría y qué hace un consultor?
8
Sin embargo… http://www.urbandictionary.com/define.php?term=Consultant
![Page 9: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/9.jpg)
¿Qué es consultoría y qué hace un consultor?
9
![Page 10: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/10.jpg)
¿Qué es consultoría y qué hace un consultor?
10
En / Internet / banners / etc.
![Page 11: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/11.jpg)
¿Qué es consultoría y qué hace un consultor? En la VIDA REAL
![Page 12: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/12.jpg)
¿Qué es consultoría y qué hace un consultor? En la VIDA REAL
![Page 13: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/13.jpg)
¿Qué es consultoría y qué hace un consultor? En la VIDA REAL
![Page 14: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/14.jpg)
¿Qué es consultoría y qué hace un consultor? En la VIDA REAL
![Page 15: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/15.jpg)
¿Qué es consultoría y qué hace un consultor? En la VIDA REAL
![Page 16: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/16.jpg)
¿Qué es consultoría y qué hace un consultor? En la VIDA REAL
![Page 17: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/17.jpg)
Lo mío es hacking y programación, ¿puedo ser consultor?
17
POR SUPUESTO, pero otro skills son impredecibles
Despertar temprano Ser social Vestir formal Puntualidad Y sobretodo….
¡NO SER ARROGANTE Y SENTIRSE EL MÁS INTELIGENTE DEL
EDIFICIO !
![Page 18: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/18.jpg)
Lo mío es hacking y programación, ¿puedo ser consultor?
18
Existe un vasto Mundo allá afuera de la MATRIX
![Page 19: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/19.jpg)
Lo mío es hacking y programación, ¿puedo ser consultor?
19
Considero que uno de los pasos más radicales es el cambio de hábitos
![Page 20: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/20.jpg)
¿Qué estudiar?
20
Me han hecho la misma pregunta un millón de veces
Tema: necesito alguna carrera para poder ser buen hacker https://www.underground.org.mx/index.php?topic=15814.0
Ingenierias, Pregunta para los que se desempeñan en esto https://www.underground.org.mx/index.php?topic=28223.0
![Page 21: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/21.jpg)
¿Qué estudiar?
21
Carreras en Universidades Ingeniería Ciencias Computacionales Redes
Complementado (necesariamente con AUTOESTIDIO)
![Page 22: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/22.jpg)
¿Qué estudiar?
22
AUTOESTUDIO La información está en Internet gratuitamente Tomar video-cursos en línea Curso Back|Track 5 Impartido por @hlixaya http://www.omhe.org | @OMHE_org
Slides de Conferencias recientes
SecurityTube http://www.securitytube.net
![Page 23: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/23.jpg)
¿Qué estudiar?
23
![Page 24: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/24.jpg)
¿Qué estudiar?
24
![Page 25: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/25.jpg)
Certificaciones
25
En 2008, me perdía con tantos acrónimos, CEH, GI:JOES, CISOs, CISSP, etc. etc. etc. Así que hice
Mapa de la industria de la seguridad (2008, no actualizada), pero las allí listadas siguen siendo las top de la industria
http://brainoverflow.org/papers/MAPA%20DE%20LA%20INDUSTRIA%20DE%20LA%20SEGURIDAD.txt
![Page 26: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/26.jpg)
Certificaciones
26
Las más (re)conocidas en la industria de Seguridad Informática son
CISSP (ISC2)
CEH (EC-Council)
GIAC (SANS Institute)
GPEN G* (Forensics, Incident Handling, etc. etc. etc.)
ISACA CISA / CISM
Otras más… Mile2 OSSTMM Etc.
![Page 27: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/27.jpg)
Certificaciones
27
![Page 28: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/28.jpg)
Certificaciones
28
Según ISC2 (CISSP), SANS Institute y otros (DUEÑOS DEL NEGOCIO $$$)
![Page 29: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/29.jpg)
Certificaciones
29
![Page 30: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/30.jpg)
Certificaciones
30
CISSP https://www.isc2.org/cissp-why-certify/default.aspx
![Page 31: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/31.jpg)
Certificaciones
31
¿Realmente sirven? Discusión interminable…
$$$ NEGOCIOS $$$
¿Subir de puesto? ¿Aumento de $alario?
Autoaprendizaje Reto Personal
![Page 32: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/32.jpg)
Certificaciones
32
![Page 33: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/33.jpg)
Certificaciones
33
Hace unas semanas hice una pequeña encuesta en el grupo ASIMX en Linkedin
![Page 34: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/34.jpg)
Certificaciones
34
Recomendación personal Leer el libro CISSP aunque no
se certifiquen
CobiT Foundations Autoestudio Examen en línea www.isaca.org
SANS / GIAC Muy caros Pagados por compañías
![Page 35: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/35.jpg)
Certificaciones
35
Y si no quieres pagar… CertGen http://brainoverflow.org/certgen/
Ahora ya puedes llenarte de ‘apellidos’ después de tu nombre en la firma de tu email, Linkedin, tarjetas de presentación, etc.
![Page 36: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/36.jpg)
“Yo hackeo y programo”, ¿no me hables de Contabilidad?
36
Pensar más allá de la shell y exploits Apertura y disponibilidad a aprender cosas
nuevas Finanzas Impuestos Economía Recursos Humanos Marketing Gobierno Corporativo
Equipos de trabajo interdiscliplinarios
![Page 37: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/37.jpg)
“Yo hackeo y programo”, ¿no me hables de Contabilidad?
37
AMPLIO PANORAMA Ver más que “sólo una pieza del rompecabezas”
Ves la seguridad desde otra perspectiva
Tener root shell o acceso total a una base de datos
Con un amplio panorama No es lo máximo, sépanlo
![Page 38: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/38.jpg)
“Yo hackeo y programo”, ¿no me hables de Contabilidad?
38
Amprendes a ser más analítico
Visión de negocio
Y por ende, aprendes más de Administración de Riesgos Análisis cuantitativos / cualitativos Muchas cosas más
KISS (Keep It Simple Stupid)
![Page 39: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/39.jpg)
Soft skills, más allá del “soy hacker y solo uso jeans y playeras negras”
39
VS
![Page 40: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/40.jpg)
Soft skills, más allá del “soy hacker y solo uso jeans y playeras negras”
40
Saluda a la gente normalmente Con educación y seguridad Que sean CEOs, CISOs, GI:JOEs no los hace más ni
menos
Puntualidad No dar pretextos por llegar tarde Pide una pequeña disculpa
Vestir bien No llevar el traje ‘pistache’ a la oficina
![Page 41: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/41.jpg)
Tips para tu carrera profesional en Seguridad
41
Personalmente, recomiendo trabajar un tiempo en alguna Big 4
![Page 42: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/42.jpg)
Tips para tu carrera profesional en Seguridad
42
Trampolín profesional Aprendes y ganas experiencia
![Page 43: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/43.jpg)
Tips para tu carrera profesional en Seguridad
43
Alguna otra Big 4, 6, 7, 8, etc… Cuentan con planes de carrera, p.e.
Consultor Junior Consultor Senior Supervisor Gerente Gerente Senior Director Socio
![Page 44: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/44.jpg)
Tips para tu carrera profesional en Seguridad
44
Manten tu Curriculum Vitae actualizado Linkedin es el Facebook profesional, mantenlo
actualizado
¡ NO MIENTAS !
![Page 45: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/45.jpg)
Tips del dia a dia en la jungla de asfalto
45
No supongas cosas ! Más vale preguntar Estar todos en el mismo acuerdo, misma idea, mismo
entendimiento
No te salgas del alcance en proyectos vendidos al cliente
Podrías perder tiempo Podrías disgustar / enojar al cliente NO PROMETAS COSAS QUE NO HARÁS Peor aún, problemas legales
![Page 46: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/46.jpg)
46
![Page 47: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/47.jpg)
¿Es bien pagado?
47
Pide el dinero que tu crees que mereces
Pide mucho $$$ No tengas miedo que la de Recursos Humanos se ría Importantísimo el primer sueldo pues de aquí
comienzan los aumentos de sueldo por % porcentaje
![Page 48: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/48.jpg)
¿Es bien pagado?
48
No te compares con los demás En los aumentos O si tiene ayuda porque es hijo del Director de Finanzas
Cada quién pelea por sus propios intereses
Deja de quejarte ! Sino estás a gusto, busca otro trabajo No comiences a criticar a tus colegas !
![Page 49: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/49.jpg)
Anécdotas
49
Planta Industrial a 30 mins en el desierto al norte de México (Frontera con EUA)
Diseño de Arquitectura de Seguridad Desinfección de Robots infectados con Stuxnet
![Page 50: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/50.jpg)
Anécdotas
50
Pentest con un Banco Multinacional Defacement una semana después
![Page 51: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/51.jpg)
Anécdotas
51
Problemas de Lenguaje en Corea del Sur
![Page 52: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/52.jpg)
Anécdotas
52
Centro de Datos a una hora de México DF Alta Seguridad
![Page 53: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/53.jpg)
Inspírate !
53
Música
Tu hacker / cyberpunk favorito Hugh Jackman (Swordfish) XD John Connor (Terminator) Neo (Matrix) Zero Cool (Hackers)
Etc. Etc. Etc.
![Page 54: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/54.jpg)
Inspírate !
54
![Page 55: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/55.jpg)
Inspírate !
55
Tyler Durden
Fight Club
![Page 56: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/56.jpg)
Inspírate !
56
![Page 57: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/57.jpg)
Inspírate !
57
![Page 58: Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party Colombia 2013](https://reader033.vdocument.in/reader033/viewer/2022061213/547bf32e5806b50d408b46ca/html5/thumbnails/58.jpg)
- GRACIAS -
Alejandro HernándezCISSP, GPEN, CobiT, ITIL
@nitr0usmx
http://www.brainoverflow.orghttp://chatsubo-labs.blogspot.mx