La ciberseguridad día a día:cómo es el sector, el día a día en él, lo que buscamos las empresas, los procesos de selección, emprender, pentesters… xD

@buguroo

El sector de la ciberseguridad desde el punto de vista práctico

Grupos organizadosLa mayor parte de los ataques proviene de cibermafias

Malware avanzadoLas herramientas cada vez son más indetectables

Consumo: objetivo de 2015El usuario final es el principal objetivo de la ciberdelincuencia

Un problema globalTodas las empresas usan nuevas tecnologías

Cambio de paradigmaLa seguridad de perímetro ya no es suficiente

Consecuencias de un ataquePérdidas económicas y reputacionales de por vida.

Nuevos players: criminales, herramientas y víctimas

2012$250 Billones

2013$445 Billones

2014$575 Billones

69% víctimas7/10 Adultos

experimentarán algún tipo de ciberataque a lo

largo de sus vidas.

Evolución de Pérdidas por Cibercrimen

$575 Billones en pérdidas

32%

23%

32%

12%

47%

Situación Actual - Métricas

Víctimas del cibercrimen: pasado, presente y futuro

Nuevas víctimas día a día

- Más de un millón de víctimas al día:- 50.000 víctimas a la hora- 820 víctimas por minuto- 14 víctimas por segundo

Ataques que ya se han producido

- 2014: más d 1.000 millones de datos robados- Cada día:

- 30.000 aplicaciones web vulneradas- 200.000 ciberataques

Futuros objetivos

- Internet of things:- Coches- Alarmas- Casas

- Dispositivos móviles:- Smartphones- Tablets- Wereables

- Malware Point of Sale:- Datáfonos

- Drones

El sector puntero de la industria puntera

• En un momento en el que la mayor parte de los sectores decrecen, la informática sigue siendo un entorno con tracción a nivel mundial• Dentro de las nuevas tecnologías, la ciberseguridad es el

sector con mayor proyección a corto y largo plazo

500.000 empleos 1.000.000 empleos

Un pastel enorme: hasta un millón de empleos

Cómo es el día a día en una empresa de ciberseguridad

¿Qué es necesario?

Compromiso, esfuerzo, inventiva, capacidad de resolución de problemas, trabajo en grupo, ganas de aprender y experiencia.

Valoramos las titulaciones. Sin embargo, creemos que los logros académicos son un aliciente, no un condicionante.

Fernand Braudel – El tiempo histórico.

Pasión 24/7En este sector, en el cual se gana muchísimo dinero, la gente no trabaja por dinero. El perfil más habitual es el de alguien que ha conseguido dedicarse a su pasión, por lo que nunca deja de pensar en lo que hace.

Día a día en una empresa de ciberseguridadMetodología de trabajo

Un sector como la ciberseguridad requiere una metodología vanguardista. Muchas empresas utilizamos Scrum: un modelo de trabajo que apuesta por el desarrollo incremental, en ciclos de trabajo solapados.

Nuestros equipos se autoorganizan y se conocen los unos a los otros. Si seguimos el ejemplo del tiempo histórico de Braudel, nosotros estamos en la espuma de la ola.

Solución necesaria para un problema tangibleCuando se habla de I+D+I en un sector tan vanguardista, en ocasiones se plantean soluciones utópicas o a largo plazo. En el caso de la ciberseguridad, las empresas necesitan una solución inmediata a un problema en curso. Por eso, sectores como la application security y la cyberintelligence no dejan de crecer.

Vivimos en el lío

bugurooTeam: nuestro principal valor

• En el sector de la ciberseguridad, el principal activo de una empresa es su capital humano.

• buguroo cuenta con un equipo orientado totalmente a tareas de I+D+i, que cristalizan en una metodología de desarrollo de producto vanguardista y eficiente.

• Más del 85% de los empleados de la compañía trabajan en tareas técnicas. buguroo es fabricante.

Volumetrías tecnológicas

Capital humano e I+D+i

bugurooTeam en sus laboratorios

bugurooTeam en el HQ de la compañía

BugurooTeam en cifras

Product Manager x2

Ethical Hackers x10

Malware Analyst x9

Forenses x6

Programadores x26

Diseñadores gráficos x3

Desarrollo de negocio x6

Áreas no técnicas x3

+5 billones de líneas de código analizadas al mes

+12.000ficheros vulnerables detectados al mes

+1 millónde vulnerabilidades críticas halladas al mes

+100.000vulnerabilidades únicas detectables

+700.000documentos indexados para ciberinteligencia al día

+2,5 millonesde dominios webcrawleados al mes

Organigrama real de una empresa

Desarrollo de negocio

Marketing y comunicaciónSoporte

Tecnología

DesarrolloArquitectura y sistemas

Diseño CoreBackEnd PythonMalware InnovaciónFrontEnd

Qué buscamos las empresas: perfiles más demandados

LAPERFECCIÓNES UN

OBJETIVOCAMBIANTESEPUEDEPERSEGUIR

NOALCANZAR

LAPERFECCIÓNES UN

OBJETIVOCAMBIANTESEPUEDEPERSEGUIR

NOALCANZAR

Abathur.StarCraft II: Heart of the Swarm

Pure Players del sector

- Auditores / Hackers éticos

- Pentesters

- Reversers / Malware analyst

- Forenses

Perfiles más demandados: lo que cabría esperar

Agentes relacionados

Perfiles más demandados: vecinos entrañables

- Software engineers

- Big Data engineers

- R & D engineers

- Diseñadores

- Sistemas

Los siempre infravalorados «no técnicos»

Perfiles más demandados: borderlines

- Desarrollo de negocio

- Estrellas del rock / Evangelistas

- Marketing

- Comunicación

- Relaciones institucionales

- Product Managers

Opción 1:Procesos de selección + emprendimiento

Opción 2:Pentesters + Forenses

Opción 3:Las dos opciones a todo rabo

Procesos de selección

El bonito mundo de los procesos de selección- Preparación previa:

- ¿Cómo es la compañía?- ¿Cómo son sus clientes?- ¿Sabes algo de tus futuros compañeros?

- Los-que-nunca-fallan:- Puntualidad- Vestimenta- CV impreso

- Diferencia entre una PYME y una gran empresa

- Prepárate para lo inesperado:- Distracciones- Preguntas absurdas…- …incluso desagradables- Interrupciones constantes- Esperas

- Recursos Humanos y otros animales mitológicos- Psicotécnicos- Conversaciones innecesarias- Típicos tópicos

El típico entrevistador

Consideraciones generales

Entrevista 1/4: que la empresa te conozca

Mucho cuidado con el CV

Las tres puertas de entrada a una empresa

- Limpio, claro y ajustado al puesto

- Profesional

- A la moda

- No inventes cosas

CV – Nada que ganar, mucho que perder- Candidatura espontánea

- Búsqueda proactiva

- Ferias, congresos, comunidad

Demuestra lo que vales

- La prueba puede ser realizada por distintos perfiles: desde juniors hasta jefes de departamento

- Puede ser en una sola fase o en varias, individualizada o en grupo

- Los conocimientos no se valoran únicamente con pruebas teóricas, una pequeña conversación puede ser más que suficiente

- Ningún detalle del CV es baladí

Entrevista 2/4: prueba técnica

Ciberseguridad

- La experiencia influye en el sueldo, no en la contratación

- Se valora tanto lo que se sabe como lo que se puede saber

- El talento es, de verdad, el elemento diferenciador

Entrevista 3/4: los intangiblesCapacidades más allá de los conocimientos técnicos- Pensamiento lateral- Capacidad organizativa- Intereses personales- Superación- Ambición

Sueldos mediosEn Internet hay infinidad de ejemplos de «lo que debería cobrar» una persona que acceda a un determinado cargo con una formación específica. Que te sirva únicamente como orientación, no como obsesión.

The final boss

- La última entrevista suele ser meramente administrativa: salario, condiciones, fecha de incorporación…

- Puede parecer un trámite, pero en ella suelen estar mandos o incluso el CEO de la compañía. ¡Cuidado!

Hazte fuerte

Entrevista 4/4: hablando de panoja

- Si has llegado hasta allí, es porque realmente te quieren

- Plantea objetivos también a medio y largo plazo

- No tengas miedo a preguntar

- Haz contactos internos

El empresario medio español.

Emprender en ciberseguridad

¿Qué supone emprender en nuestro país?• Condiciones abusivas para el emprendedor, sobretodo comparando con Europa

• Trabas y gastos administrativos de todo tipo

• Falta de apoyo en todos los niveles

• Envidia de todo hijo de vecino

Clásica estampa costumbrista

Esto es España (AUH AUH AUH)

HUYEDELOS

TÓPICOS¡Pediré muchas ayudas!

¡No quiero

tener jefe!

¡Tengo una gran

idea!

Todo en uno

CONTABILIDAD

RRHHSOPORTE

PROVEEDORES DISEÑO

MARKETING

Todo en uno

CONTABILIDAD

RRHHSOPORTE

PROVEEDORES DISEÑO

MARKETING

El mundo se puede conquistar, pero ni siquiera Alejandro Magno iba solo• Búsqueda de socios: el eterno problema

• Financiación, la quimera del siglo XXI

• Incubadoras, aceleradoras, concursos…

• Emprender está de moda

Un mundo de posibilidades

Más allá del ombligo

Pentesters en la vida real

Definición teórica

Especialista que realiza «pruebas ofensivas contra los mecanismos de defensa existentes en el entorno que se está analizando. Estas pruebas comprenden desde el análisis de dispositivos físicos y digitales, hasta el análisis del factor humano utilizando ingeniería social.».

Fernando Catoira (exESET, Red Link)

¿Qué es un pentester y un test de penetración?

Test de penetración, el servicio estrella del hacking ético.

¿Por qué hacer un test de penetración?

La seguridad de perímetro ya no es suficiente: las empresas tienen que entender la ciberseguridad de manera proactiva. Con auditorías (como los tests de penetración) se pueden hallar vulnerabilidades y solucionarlas antes de que un atacante las aproveche.

¿Qué NO hace un pentester?

No accede sin autorización.

No actúa sobre máquinas vulnerables (aunque las encuentre) si no se han provisionado.

No trabaja solo de pentester.No audita sin unas normas.

No se pudre de dinero.No trabaja cuando quiere. No se libra de rellenar informes.

No entra sin avisar a los usuarios. No degrada el servicio intencionadamente.

No tiene amigos (al menos no en el trabajo, ya que se dedica a buscar sus errores).

«La labor de un pentester no debe ser mitificada, sino puesta en valor.»

Yo

¿Qué SI hace un pentester?- Trabajo previo: estudio del sistema a auditar, reuniones con el

cliente, establecimiento de pautas.- Trabajo posterior: generar documentación, análisis de la

situación con el cliente, toma de decisiones.

TEST DE PENETRACIÓN TIPO

1) Fase de reconocimiento2) Fase de escaneo3) Fase de enumeración4) Fase de acceso5) Fase de mantenimiento/consolidación

Tres caminos dentro de la ciberseguridad

La vida laboral de un pentester

- Perfiles clásicos:- Pentester- Analista de malware- Forense…

- Perfiles afines:- Ingenieros especializados en

desarrollo seguro- Diseñadores- Sistemas…

- Outsiders:- Desarrollo de negocio- Product managers- Marketing…

Vocación Experimentación Formación

Integración en la comunidad Complementos del CV Leer todo lo que encuentres

Cómo llegar a ser un pentester

Forenses en la vida real

Definición teórica

Especialista que aplica «técnicas científicas y analíticas […] a infraestructuras tecnológicas que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal».

Esto incluye «reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos».

Wikipedia.

¿Qué es un forense informático?

Un forense ve y hace cosas que harían vomitar a una cabra.

¿Vocación o carrera profesional?

En España apenas hay forenses full time. La mayor parte de los profesionales que se dedican a esto lo hacen como complemento a su actividad, de manera esporádica y/o por pura vocación.

Ser forense implica…

Inconvenientes que quizá no has pensado

- Usar procedimientos técnicos para llegar a conclusiones con carga subjetiva

- Tener que realizar un trabajo técnico que desemboque en conclusiones no técnicas

- La mayoría de los proyectos tienen un inicio claro pero no un final

- Estar en contacto con Saul y sus entrañables compañeros de profesión

- No existe un órgano para colegiarse: vacío legal, falta de normativa

- España es un país muy atrasado judicialmente hablando

- Ni huellas, ni crímenes ni nada

El punto de partida de todo análisis

Qué hace un pentester I: preguntas previas

- ¿Cuál es el escenario de trabajo?

- ¿Qué quiere analizarse?

- ¿Cuánto tiempo hay para adquirir evidencias?

- ¿Dónde se va a almacenar la información?

- ¿Cuántas copias hacen falta?

Conclusiones a las que hay que llegar

Qué hace un pentester II: informe tipo

- Antecedentes

- Evidencias

- Análisis

- Resultados

- Conclusiones

www.buguroo.com@buguroo