alejandro ramos - operación triunfo profesional [rootedcon 2010]

Alejandro RamosSecurityByDefault.com

Operación Triunfo Profesional

Manager del TigerTeam de SIA Profesor en el MOSTIC de la Universidad

Europea de Madrid Editor de SecurityByDefault.com Blah Blah…

¿El hacker nace o se hace? ¿Debería haber empezado con 12 años? ¿Hay que ser un Sheldon con CI >187? ¿Es necesario tener un pasado oscuro? ¿Cuantas horas tengo que dedicarle?¿Pasión?

Ofertas de empleo de seguridad nivel nacional

Hacking:

¿Empleo para gente sin experiencia?

“¿Y en plena crisis nos hablas de empleo?”

Puesto Min Max

Operador

Consultor, Auditor, Reverser Junior

Consultor, Auditor, Reverser Senior

Jefe de Equipo

Jefe de Proyecto

16.000€ 20.000€

18.000€ 25.000€

30.000€ 45.000€

36.000€ 55.000€

45.000€ 70.000€

Puesto Min Max

Consultor Junior - USA 57.000 € 73.000€

Consultor Senior - USA 84.000€ 100.000€

Jefe de Proyecto - USA 100.000€ 120.000€

Consultor Junior - EUR 30.000€ 50.000€

Consultor Senior - EUR 50.000€ 70.000€

Jefe de Proyecto - EUR 70.000€ 90.000€

Freelance Experiencia previa

Contactos

Portales ▪ Infolancer.net

▪ getafreelancer.com

Underground ( ! ) Mercado negro

Venta 0-days:

▪ No declarar ingresos

La formación

Operación Hacking ético Arquitectura de Red / Integración Auditor LOPD / LSSI / Regulación Continudad de Negocio Auditor ISO27001, Normativas, etc Análisis Forense I+D Ingeniería Inversa Formación

Proyectos -> Colabora Blogs -> Genera Listas de correo -> Participa Charlas -> Expón

Nosotros como producto¡Véndete!

Boom 2000: falta de titulados Contratación de gente sin titulación (HOLA!)

BBBBOOOOMMM 2008: sobra gente.

MUUUCHA GENTE

Si aún estas a tiempo… busca entre tus optativas

Postgrados en Seguridad: UEM :)

UPM

UAX

UPSAM

UOC

…

Cursos intensivos: /Rooted Retos de hacking, forense, desarrollo Eventos:

Jornadas y congresos de seguridad

o de programación

… o de softwarelibre …

Leer SecurityByDefault (y otros blogs) Revistas, revistas online y libros

Nacionales NcN

Asegur@IT

FIST

DISI

OWASP

CALENDARIOS: http://www.criptored.upm.es/paginas/eventos.htm http://cert.inteco.es/agendainteco/Actualidad/calen

dario_eventos_es

Internacionales BlackHat

Defcon

CanSecWest

HITB

ToorCon

En ocasiones necesarias para conseguir audiencia en entrevistas de RRHH

Requeridas en concursos públicos y privados Obligatorias por algunas compañías para

trabajar con su equipamiento. Ej: Cisco o Sun Precios entre 200€ y 700€ DoD8570

100 % del personal certificado 3y

40% antes del final del 2008

http://iase.disa.mil/eta/iawip/ia-pos/

IAT: Information Assurance TechnicalIAM: IA Management CND: Computer Network DefenseIASAE: Information Assurance SupportEnvironment

Requieren “experiencia” en seguridad CISSP, CISM, CISA

http://docs.bankinfosecurity.com/files/surveys/Careers-Survey-Summary.pdf

CISM

CISA

CISSP

CISSPCISM GIAC

Certificaciones de vendedores (16%)

MCSE

CCSP

LPI

MISC

OPSA/OPST CEH y CHFI GIAC

“Become a guru in something first, beforebecoming a penetration tester”

Thomas Wilhelm

Administrador de sistemas Desarrollo Administrador de redes

Proceso de selección

LinkedIn, Xing, Viadeo, Plaxo, Spoke…ZzZz Cambio de empleo Búsqueda de empleados Usada mayormente por cazatalentos Completar el perfil es un arte

No mientas.

No aburras.

Ojo con lo que enlazas.

http://www.historiasdecracks.com/2010/01/como-completar-un-buen-perfil-en-las-redes-sociales-profesionales-linkedin-xing-viadeo/

Datos de contacto Formación académica Otros títulos Idiomas Ordenado cronológicamente Experiencia profesional Conocimientos técnicos Datos de interés Modelo europeo.

http://www.modelocurriculum.net/modelo-cv-europa.html

Cuidado con la cronología (sin zonas grises). Si se usan siglas, añadir que son. Que no sea un tostón (2 pág. máx.). Adaptado al puesto al que se aplica. Con foto.. seria y respetable… (o sin ella). ¿Hobbies? No gracias. No mientas. Sin faltas ortográficas.

Antes de asistir, infórmate en que consiste el proceso.

La escalera se sube desde abajo. Todo es empezar.

Demuestra ganas e ilusión.

Tus pequeños proyectos importan

Aprovecha los primeros años para terminar de

formarte.

Las camisetas con corbatas dibujadas no se llevan, y

no, no son graciosas.

Si hay prueba técnica:

Práctica antes con retos.

No se espera que lo hagas

perfecto.

No respondas usando rand (). Te

van a pillar

Práctica test psicotécnicos.

No son ninjas

¿Tendré que hacer formación continua? ¿Seguir participando en la comunidad? ¿accederé a información privilegiada? ¿Utilizaré herramientas de botón gordo? ¿Me obligarán a hacer el mal por las noches?

SecurityByDefault.com