(1) El documento habla sobre la ciberseguridad desde una perspectiva práctica, describiendo aspectos como los perfiles más demandados, el día a día en una empresa de ciberseguridad y el proceso de selección. (2) También analiza roles como los pentesters y forenses, explicando lo que realmente hacen en su trabajo diario y los retos asociados a estas posiciones. (3) Por último, aborda la posibilidad de emprender en el sector de la ciberseguridad.
La ciberseguridad día a día: trabajar en el sector de la ciberseguridad
1. La ciberseguridad día a día:
cómo es el sector, el día a día en él, lo
que buscamos las empresas, los
procesos de selección, emprender,
pentesters… xD
@buguroo
2. El sector de la ciberseguridad
desde el punto de vista
práctico
3. Grupos organizados
La mayor parte de los ataques
proviene de cibermafias
Malware avanzado
Las herramientas cada vez
son más indetectables
Consumo: objetivo de 201
El usuario final es el principal
objetivo de la ciberdelincuencia
Un problema global
Todas las empresas usan
nuevas tecnologías
Cambio de paradigma
La seguridad de perímetro ya no
es suficiente
Consecuencias de un ataque
Pérdidas económicas y
reputacionales de por vida.
Nuevos players: criminales, herramientas y
víctimas
5. Víctimas del cibercrimen: pasado, presente y futuro
Nuevas víctimas día a día
- Más de un millón de víctimas al día:
- 50.000 víctimas a la hora
- 820 víctimas por minuto
- 14 víctimas por segundo
Ataques que ya se han producido
- 2014: más d 1.000 millones de datos robados
- Cada día:
- 30.000 aplicaciones web vulneradas
- 200.000 ciberataques
Futuros objetivos
- Internet of things:
- Coches
- Alarmas
- Casas
- Dispositivos móviles:
- Smartphones
- Tablets
- Wereables
- Malware Point of Sale:
- Datáfonos
- Drones
6. El sector puntero de la industria puntera
• En un momento en el que la mayor parte de los sectores
decrecen, la informática sigue siendo un entorno con
tracción a nivel mundial
• Dentro de las nuevas tecnologías, la ciberseguridad es el
sector con mayor proyección a corto y largo plazo
500.000 empleos 1.000.000 empleos
Un pastel enorme: hasta un millón de
empleos
7. Cómo es el día a día
en una empresa de
ciberseguridad
8. ¿Qué es necesario?
Compromiso, esfuerzo, inventiva, capacidad de resolución de problemas, trabajo en grupo, ganas de
aprender y experiencia.
Valoramos las titulaciones. Sin embargo, creemos que los logros académicos son un aliciente, no un
condicionante.
Fernand Braudel – El tiempo histórico.
Pasión 24/7
En este sector, en el cual se gana muchísimo dinero, la gente no trabaja por dinero. El perfil más habitual
es el de alguien que ha conseguido dedicarse a su pasión, por lo que nunca deja de pensar en lo que
hace.
Día a día en una empresa de ciberseguridad
Metodología de trabajo
Un sector como la ciberseguridad requiere una
metodología vanguardista. Muchas empresas
utilizamos Scrum: un modelo de trabajo que
apuesta por el desarrollo incremental, en ciclos de
trabajo solapados.
Nuestros equipos se autoorganizan y se conocen
los unos a los otros. Si seguimos el ejemplo del
tiempo histórico de Braudel, nosotros estamos en la
espuma de la ola.
9. Solución necesaria para un problema tangible
Cuando se habla de I+D+I en un sector tan vanguardista, en ocasiones se plantean soluciones utópicas o a largo plazo. En el
caso de la ciberseguridad, las empresas necesitan una solución inmediata a un problema en curso. Por eso, sectores
como la application security y la cyberintelligence no dejan de crecer.
Vivimos en el lío
10. bugurooTeam: nuestro principal valor
• En el sector de la ciberseguridad, el principal activo de
una empresa es su capital humano.
• buguroo cuenta con un equipo orientado totalmente a
tareas de I+D+i, que cristalizan en una metodología de
desarrollo de producto vanguardista y eficiente.
• Más del 85% de los empleados de la compañía
trabajan en tareas técnicas. buguroo es fabricante.
Volumetrías tecnológicas
Capital humano e I+D+i
bugurooTeam en sus laboratorios
bugurooTeam en el HQ de la compañía
BugurooTeam en cifras
Product Manager x2
Ethical Hackers x10
Malware Analyst x9
Forenses x6
Programadores x26
Diseñadores gráficos x3
Desarrollo de negocio x6
Áreas no técnicas x3
+5 billones
de líneas de
código
analizadas al
mes
+12.000
ficheros
vulnerables
detectados al
mes
+1 millón
de
vulnerabilidades
críticas halladas
al mes
+100.000
vulnerabilidade
s únicas
detectables
+700.000
documentos
indexados para
ciberinteligenci
a al día
+2,5 millones
de dominios
web
crawleados al
mes
11. Organigrama real de una empresa
Desarrollo de
negocio
Marketing y
comunicaciónSoporte
Tecnología
DesarrolloArquitectura y
sistemas
Diseño CoreBackEnd PythonMalware InnovaciónFrontEnd
15. Pure Players del sector
- Auditores / Hackers éticos
- Pentesters
- Reversers / Malware analyst
- Forenses
Perfiles más demandados: lo que cabría
esperar
16. Agentes relacionados
Perfiles más demandados: vecinos
entrañables
- Software engineers
- Big Data engineers
- R & D engineers
- Diseñadores
- Sistemas
17. Los siempre infravalorados «no técnicos»
Perfiles más demandados: borderlines
- Desarrollo de negocio
- Estrellas del rock / Evangelistas
- Marketing
- Comunicación
- Relaciones institucionales
- Product Managers
18. Opción 1:
Procesos de selección + emprendimiento
Opción 2:
Pentesters + Forenses
Opción 3:
Las dos opciones a todo rabo
20. El bonito mundo de los procesos de selección
- Preparación previa:
- ¿Cómo es la compañía?
- ¿Cómo son sus clientes?
- ¿Sabes algo de tus futuros compañeros?
- Los-que-nunca-fallan:
- Puntualidad
- Vestimenta
- CV impreso
- Diferencia entre una PYME y una gran empresa
- Prepárate para lo inesperado:
- Distracciones
- Preguntas absurdas…
- …incluso desagradables
- Interrupciones constantes
- Esperas
- Recursos Humanos y otros animales mitológicos
- Psicotécnicos
- Conversaciones innecesarias
- Típicos tópicos
El típico entrevistador
Consideraciones generales
21. Entrevista 1/4: que la empresa te
conozca
Mucho cuidado con el CV
Las tres puertas de entrada a una
empresa
- Limpio, claro y ajustado al puesto
- Profesional
- A la moda
- No inventes cosas
CV – Nada que ganar, mucho que perder
- Candidatura espontánea
- Búsqueda proactiva
- Ferias, congresos, comunidad
22. Demuestra lo que vales
- La prueba puede ser realizada por distintos perfiles:
desde juniors hasta jefes de departamento
- Puede ser en una sola fase o en varias, individualizada
o en grupo
- Los conocimientos no se valoran únicamente con
pruebas teóricas, una pequeña conversación puede ser
más que suficiente
- Ningún detalle del CV es baladí
Entrevista 2/4: prueba técnica
Ciberseguridad
- La experiencia influye en el sueldo, no en la
contratación
- Se valora tanto lo que se sabe como lo que se puede
saber
- El talento es, de verdad, el elemento diferenciador
24. Sueldos medios
En Internet hay infinidad de ejemplos de «lo que debería cobrar» una persona que acceda a un determinado cargo con una
formación específica. Que te sirva únicamente como orientación, no como obsesión.
The final boss
- La última entrevista suele ser meramente
administrativa: salario, condiciones, fecha de
incorporación…
- Puede parecer un trámite, pero en ella suelen estar
mandos o incluso el CEO de la compañía. ¡Cuidado!
Hazte fuerte
Entrevista 4/4: hablando de panoja
- Si has llegado hasta allí, es porque realmente te
quieren
- Plantea objetivos también a medio y largo plazo
- No tengas miedo a preguntar
- Haz contactos internos
El empresario medio español.
26. ¿Qué supone emprender en nuestro país?
• Condiciones abusivas para el emprendedor, sobretodo comparando con Europa
• Trabas y gastos administrativos de todo tipo
• Falta de apoyo en todos los niveles
• Envidia de todo hijo de vecino
Clásica estampa costumbrista
Esto es España (AUH AUH AUH)
30. El mundo se puede conquistar, pero ni siquiera Alejandro Magno iba
solo• Búsqueda de socios: el eterno problema
• Financiación, la quimera del siglo XXI
• Incubadoras, aceleradoras, concursos…
• Emprender está de moda
Un mundo de posibilidades
Más allá del ombligo
32. Definición teórica
Especialista que realiza «pruebas ofensivas contra los
mecanismos de defensa existentes en el entorno que se
está analizando. Estas pruebas comprenden desde el
análisis de dispositivos físicos y digitales, hasta el análisis
del factor humano utilizando ingeniería social.».
Fernando Catoira (exESET, Red Link)
¿Qué es un pentester y un test de
penetración?
Test de penetración, el servicio estrella del hacking ético.
¿Por qué hacer un test de penetración?
La seguridad de perímetro ya no es suficiente: las
empresas tienen que entender la ciberseguridad de
manera proactiva. Con auditorías (como los tests de
penetración) se pueden hallar vulnerabilidades y
solucionarlas antes de que un atacante las aproveche.
33. ¿Qué NO hace un pentester?
No accede sin autorización.
No actúa sobre máquinas vulnerables (aunque las encuentre) si no se han provisionado
No trabaja solo de pentesterNo audita sin unas normas.
No se pudre de dinero.No trabaja cuando quiere. No se libra de rellenar informes.
No entra sin avisar a los usuarios. No degrada el servicio intencionadamente.
No tiene amigos (al menos no en el trabajo, ya que se dedica a buscar sus err
«La labor de un pentester
no debe ser mitificada,
sino puesta en valor.»
Yo
34. ¿Qué SI hace un pentester?
- Trabajo previo: estudio del sistema a auditar, reuniones con el
cliente, establecimiento de pautas.
- Trabajo posterior: generar documentación, análisis de la
situación con el cliente, toma de decisiones.
TEST DE PENETRACIÓN TIPO
1) Fase de reconocimiento
2) Fase de escaneo
3) Fase de enumeración
4) Fase de acceso
5) Fase de mantenimiento/consolidación
35. Tres caminos dentro de la ciberseguridad
La vida laboral de un pentester
- Perfiles clásicos:
- Pentester
- Analista de malware
- Forense…
- Perfiles afines:
- Ingenieros especializados en
desarrollo seguro
- Diseñadores
- Sistemas…
- Outsiders:
- Desarrollo de negocio
- Product managers
- Marketing…
38. Definición teórica
Especialista que aplica «técnicas científicas y analíticas […]
a infraestructuras tecnológicas que permiten identificar,
preservar, analizar y presentar datos que sean válidos
dentro de un proceso legal».
Esto incluye «reconstruir el bien informático, examinar
datos residuales, autenticar datos y explicar las
características técnicas del uso aplicado a los datos y
bienes informáticos».
Wikipedia.
¿Qué es un forense informático?
Un forense ve y hace cosas que harían vomitar a una cabra.
¿Vocación o carrera profesional?
En España apenas hay forenses full time. La mayor parte
de los profesionales que se dedican a esto lo hacen como
complemento a su actividad, de manera esporádica y/o
por pura vocación.
39. Ser forense implica…
Inconvenientes que quizá no has pensado
- Usar procedimientos técnicos para llegar a
conclusiones con carga subjetiva
- Tener que realizar un trabajo técnico que
desemboque en conclusiones no técnicas
- La mayoría de los proyectos tienen un inicio
claro pero no un final
- Estar en contacto con Saul y sus entrañables
compañeros de profesión
- No existe un órgano para colegiarse: vacío
legal, falta de normativa
- España es un país muy atrasado
judicialmente hablando
- Ni huellas, ni crímenes ni nada
40. El punto de partida de todo análisis
Qué hace un pentester I: preguntas previas
- ¿Cuál es el escenario de trabajo?
- ¿Qué quiere analizarse?
- ¿Cuánto tiempo hay para adquirir
evidencias?
- ¿Dónde se va a almacenar la
información?
- ¿Cuántas copias hacen falta?
41. Conclusiones a las que hay que llegar
Qué hace un pentester II: informe tipo
- Antecedentes
- Evidencias
- Análisis
- Resultados
- Conclusiones