La ciberseguridad día a día: trabajar en el sector de la ciberseguridad
-
Upload
jorge-martinez-taboada -
Category
Technology
-
view
367 -
download
0
Transcript of La ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día:cómo es el sector, el día a día en él, lo que buscamos las empresas, los procesos de selección, emprender, pentesters… xD
@buguroo
Grupos organizadosLa mayor parte de los ataques proviene de cibermafias
Malware avanzadoLas herramientas cada vez son más indetectables
Consumo: objetivo de 2015El usuario final es el principal objetivo de la ciberdelincuencia
Un problema globalTodas las empresas usan nuevas tecnologías
Cambio de paradigmaLa seguridad de perímetro ya no es suficiente
Consecuencias de un ataquePérdidas económicas y reputacionales de por vida.
Nuevos players: criminales, herramientas y víctimas
2012$250 Billones
2013$445 Billones
2014$575 Billones
69% víctimas7/10 Adultos
experimentarán algún tipo de ciberataque a lo
largo de sus vidas.
Evolución de Pérdidas por Cibercrimen
$575 Billones en pérdidas
32%
23%
32%
12%
47%
Situación Actual - Métricas
Víctimas del cibercrimen: pasado, presente y futuro
Nuevas víctimas día a día
- Más de un millón de víctimas al día:- 50.000 víctimas a la hora- 820 víctimas por minuto- 14 víctimas por segundo
Ataques que ya se han producido
- 2014: más d 1.000 millones de datos robados- Cada día:
- 30.000 aplicaciones web vulneradas- 200.000 ciberataques
Futuros objetivos
- Internet of things:- Coches- Alarmas- Casas
- Dispositivos móviles:- Smartphones- Tablets- Wereables
- Malware Point of Sale:- Datáfonos
- Drones
El sector puntero de la industria puntera
• En un momento en el que la mayor parte de los sectores decrecen, la informática sigue siendo un entorno con tracción a nivel mundial• Dentro de las nuevas tecnologías, la ciberseguridad es el
sector con mayor proyección a corto y largo plazo
500.000 empleos 1.000.000 empleos
Un pastel enorme: hasta un millón de empleos
¿Qué es necesario?
Compromiso, esfuerzo, inventiva, capacidad de resolución de problemas, trabajo en grupo, ganas de aprender y experiencia.
Valoramos las titulaciones. Sin embargo, creemos que los logros académicos son un aliciente, no un condicionante.
Fernand Braudel – El tiempo histórico.
Pasión 24/7En este sector, en el cual se gana muchísimo dinero, la gente no trabaja por dinero. El perfil más habitual es el de alguien que ha conseguido dedicarse a su pasión, por lo que nunca deja de pensar en lo que hace.
Día a día en una empresa de ciberseguridadMetodología de trabajo
Un sector como la ciberseguridad requiere una metodología vanguardista. Muchas empresas utilizamos Scrum: un modelo de trabajo que apuesta por el desarrollo incremental, en ciclos de trabajo solapados.
Nuestros equipos se autoorganizan y se conocen los unos a los otros. Si seguimos el ejemplo del tiempo histórico de Braudel, nosotros estamos en la espuma de la ola.
Solución necesaria para un problema tangibleCuando se habla de I+D+I en un sector tan vanguardista, en ocasiones se plantean soluciones utópicas o a largo plazo. En el caso de la ciberseguridad, las empresas necesitan una solución inmediata a un problema en curso. Por eso, sectores como la application security y la cyberintelligence no dejan de crecer.
Vivimos en el lío
bugurooTeam: nuestro principal valor
• En el sector de la ciberseguridad, el principal activo de una empresa es su capital humano.
• buguroo cuenta con un equipo orientado totalmente a tareas de I+D+i, que cristalizan en una metodología de desarrollo de producto vanguardista y eficiente.
• Más del 85% de los empleados de la compañía trabajan en tareas técnicas. buguroo es fabricante.
Volumetrías tecnológicas
Capital humano e I+D+i
bugurooTeam en sus laboratorios
bugurooTeam en el HQ de la compañía
BugurooTeam en cifras
Product Manager x2
Ethical Hackers x10
Malware Analyst x9
Forenses x6
Programadores x26
Diseñadores gráficos x3
Desarrollo de negocio x6
Áreas no técnicas x3
+5 billones de líneas de código analizadas al mes
+12.000ficheros vulnerables detectados al mes
+1 millónde vulnerabilidades críticas halladas al mes
+100.000vulnerabilidades únicas detectables
+700.000documentos indexados para ciberinteligencia al día
+2,5 millonesde dominios webcrawleados al mes
Organigrama real de una empresa
Desarrollo de negocio
Marketing y comunicaciónSoporte
Tecnología
DesarrolloArquitectura y sistemas
Diseño CoreBackEnd PythonMalware InnovaciónFrontEnd
LAPERFECCIÓNES UN
OBJETIVOCAMBIANTESEPUEDEPERSEGUIR
NOALCANZAR
Abathur.StarCraft II: Heart of the Swarm
Pure Players del sector
- Auditores / Hackers éticos
- Pentesters
- Reversers / Malware analyst
- Forenses
Perfiles más demandados: lo que cabría esperar
Agentes relacionados
Perfiles más demandados: vecinos entrañables
- Software engineers
- Big Data engineers
- R & D engineers
- Diseñadores
- Sistemas
Los siempre infravalorados «no técnicos»
Perfiles más demandados: borderlines
- Desarrollo de negocio
- Estrellas del rock / Evangelistas
- Marketing
- Comunicación
- Relaciones institucionales
- Product Managers
Opción 1:Procesos de selección + emprendimiento
Opción 2:Pentesters + Forenses
Opción 3:Las dos opciones a todo rabo
El bonito mundo de los procesos de selección- Preparación previa:
- ¿Cómo es la compañía?- ¿Cómo son sus clientes?- ¿Sabes algo de tus futuros compañeros?
- Los-que-nunca-fallan:- Puntualidad- Vestimenta- CV impreso
- Diferencia entre una PYME y una gran empresa
- Prepárate para lo inesperado:- Distracciones- Preguntas absurdas…- …incluso desagradables- Interrupciones constantes- Esperas
- Recursos Humanos y otros animales mitológicos- Psicotécnicos- Conversaciones innecesarias- Típicos tópicos
El típico entrevistador
Consideraciones generales
Entrevista 1/4: que la empresa te conozca
Mucho cuidado con el CV
Las tres puertas de entrada a una empresa
- Limpio, claro y ajustado al puesto
- Profesional
- A la moda
- No inventes cosas
CV – Nada que ganar, mucho que perder- Candidatura espontánea
- Búsqueda proactiva
- Ferias, congresos, comunidad
Demuestra lo que vales
- La prueba puede ser realizada por distintos perfiles: desde juniors hasta jefes de departamento
- Puede ser en una sola fase o en varias, individualizada o en grupo
- Los conocimientos no se valoran únicamente con pruebas teóricas, una pequeña conversación puede ser más que suficiente
- Ningún detalle del CV es baladí
Entrevista 2/4: prueba técnica
Ciberseguridad
- La experiencia influye en el sueldo, no en la contratación
- Se valora tanto lo que se sabe como lo que se puede saber
- El talento es, de verdad, el elemento diferenciador
Entrevista 3/4: los intangiblesCapacidades más allá de los conocimientos técnicos- Pensamiento lateral- Capacidad organizativa- Intereses personales- Superación- Ambición
Sueldos mediosEn Internet hay infinidad de ejemplos de «lo que debería cobrar» una persona que acceda a un determinado cargo con una formación específica. Que te sirva únicamente como orientación, no como obsesión.
The final boss
- La última entrevista suele ser meramente administrativa: salario, condiciones, fecha de incorporación…
- Puede parecer un trámite, pero en ella suelen estar mandos o incluso el CEO de la compañía. ¡Cuidado!
Hazte fuerte
Entrevista 4/4: hablando de panoja
- Si has llegado hasta allí, es porque realmente te quieren
- Plantea objetivos también a medio y largo plazo
- No tengas miedo a preguntar
- Haz contactos internos
El empresario medio español.
¿Qué supone emprender en nuestro país?• Condiciones abusivas para el emprendedor, sobretodo comparando con Europa
• Trabas y gastos administrativos de todo tipo
• Falta de apoyo en todos los niveles
• Envidia de todo hijo de vecino
Clásica estampa costumbrista
Esto es España (AUH AUH AUH)
El mundo se puede conquistar, pero ni siquiera Alejandro Magno iba solo• Búsqueda de socios: el eterno problema
• Financiación, la quimera del siglo XXI
• Incubadoras, aceleradoras, concursos…
• Emprender está de moda
Un mundo de posibilidades
Más allá del ombligo
Definición teórica
Especialista que realiza «pruebas ofensivas contra los mecanismos de defensa existentes en el entorno que se está analizando. Estas pruebas comprenden desde el análisis de dispositivos físicos y digitales, hasta el análisis del factor humano utilizando ingeniería social.».
Fernando Catoira (exESET, Red Link)
¿Qué es un pentester y un test de penetración?
Test de penetración, el servicio estrella del hacking ético.
¿Por qué hacer un test de penetración?
La seguridad de perímetro ya no es suficiente: las empresas tienen que entender la ciberseguridad de manera proactiva. Con auditorías (como los tests de penetración) se pueden hallar vulnerabilidades y solucionarlas antes de que un atacante las aproveche.
¿Qué NO hace un pentester?
No accede sin autorización.
No actúa sobre máquinas vulnerables (aunque las encuentre) si no se han provisionado.
No trabaja solo de pentester.No audita sin unas normas.
No se pudre de dinero.No trabaja cuando quiere. No se libra de rellenar informes.
No entra sin avisar a los usuarios. No degrada el servicio intencionadamente.
No tiene amigos (al menos no en el trabajo, ya que se dedica a buscar sus errores).
«La labor de un pentester no debe ser mitificada, sino puesta en valor.»
Yo
¿Qué SI hace un pentester?- Trabajo previo: estudio del sistema a auditar, reuniones con el
cliente, establecimiento de pautas.- Trabajo posterior: generar documentación, análisis de la
situación con el cliente, toma de decisiones.
TEST DE PENETRACIÓN TIPO
1) Fase de reconocimiento2) Fase de escaneo3) Fase de enumeración4) Fase de acceso5) Fase de mantenimiento/consolidación
Tres caminos dentro de la ciberseguridad
La vida laboral de un pentester
- Perfiles clásicos:- Pentester- Analista de malware- Forense…
- Perfiles afines:- Ingenieros especializados en
desarrollo seguro- Diseñadores- Sistemas…
- Outsiders:- Desarrollo de negocio- Product managers- Marketing…
Vocación Experimentación Formación
Integración en la comunidad Complementos del CV Leer todo lo que encuentres
Cómo llegar a ser un pentester
Definición teórica
Especialista que aplica «técnicas científicas y analíticas […] a infraestructuras tecnológicas que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal».
Esto incluye «reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos».
Wikipedia.
¿Qué es un forense informático?
Un forense ve y hace cosas que harían vomitar a una cabra.
¿Vocación o carrera profesional?
En España apenas hay forenses full time. La mayor parte de los profesionales que se dedican a esto lo hacen como complemento a su actividad, de manera esporádica y/o por pura vocación.
Ser forense implica…
Inconvenientes que quizá no has pensado
- Usar procedimientos técnicos para llegar a conclusiones con carga subjetiva
- Tener que realizar un trabajo técnico que desemboque en conclusiones no técnicas
- La mayoría de los proyectos tienen un inicio claro pero no un final
- Estar en contacto con Saul y sus entrañables compañeros de profesión
- No existe un órgano para colegiarse: vacío legal, falta de normativa
- España es un país muy atrasado judicialmente hablando
- Ni huellas, ni crímenes ni nada
El punto de partida de todo análisis
Qué hace un pentester I: preguntas previas
- ¿Cuál es el escenario de trabajo?
- ¿Qué quiere analizarse?
- ¿Cuánto tiempo hay para adquirir evidencias?
- ¿Dónde se va a almacenar la información?
- ¿Cuántas copias hacen falta?
Conclusiones a las que hay que llegar
Qué hace un pentester II: informe tipo
- Antecedentes
- Evidencias
- Análisis
- Resultados
- Conclusiones