barcamp_se versión 2- medellín

Barcamp_SE Versión 2- Medellínwww.dsteamseguridad.com

El Hacking como “Proyecto de Emprendimiento”

Juan David Berrio Lopez [email protected] - @dsteamseguridadGerente y Creador Empresa DSTEAM --“Seguridad de la Información”--Ingeniero Informático, Máster en Seguridad InformáticaCEH- CCNSP

mailto:[email protected]

www.dsteamseguridad.com


¿¿Porque el tema de Emprendimientos en esta desconferencia??Hacking, Ataques Informáticos, defensa por capas, planes de continuidad del negocio, ISO 27001, entre otros, son muchos de los temas que suelen seleccionar los participantes de este tipo de eventos como el Barcamp_SE. Sin embargo el tema de negocios, emprendimiento, planes de negocio, y en general todo lo que es montar empresa, poco se ha hablado.

“La Seguridad de la información Ofensiva, Defensiva, y a nivel de Gestión, puede ser un gran nicho de negocios, para generar rentabilidad, empleo y a nivel de investigación”



¿¿Porque el tema de Emprendimientos en esta desconferencia??Es importante hacer de las herramientas y procesos de la seguridad de la información, algo productivo, y no a nivel delincuencial o dañino. “El tema de Metasploit, Backtrack, entre otros, ya muchos lo saben, por lo tanto es ideal buscar mecanismos para marcar la diferencia”



!!Definitivamente hay que marcar la diferencia, los mismos medios de comunicación ya así lo entienden!!

Fuente: http://quedice.net/2011/11/26/para-ser-hacker-ya-no-hay-que-ser-experto/

Fuente: http://www.semana.com/mundo/para-hacker-no-experto/168101-3.aspx

http://quedice.net/2011/11/26/para-ser-hacker-ya-no-hay-que-ser-experto/



http://www.semana.com/mundo/para-hacker-no-experto/168101-3.aspx

http://www.semana.com/mundo/para-hacker-no-experto/168101-3.aspx



Como se forma una empresa de seguridad de la Información “– Hacking- Defensa- Gestión”Es importante tener presente que todo buen proyecto empresarial, debe de identificar los siguientes componentes:

NECESIDAD OPORTUNIDADINNOVACIÓN

OFERTA/DEMANDA

EMPRENDIMIENTO

$$$



Componentes de un proyecto empresarial de Hacking:

Confidencialidad, Integridad, Disponibilidad, No repudio, Autenticidad, Auditabilidad, Buen nombre, Fuga de Información, entre otros, son aspectos que están siendo violentados por los Grupos Hackitivitas, Delincuentes Informáticos Comunes (Script Kiddies), entre otros, por eso Las empresas necesitan:• Servicios de auditorias técnicas intrusivas, del tipo Hacking Ético o Penetration Testing.• Implementación de un modelo integral de defensa por capas para sus sistemas de información.• Implementación de modelos integrales para Gestionar la seguridad de la información y mantener la continuidad del negocio• Profesionales éticos y altamente capacitados en el tema de seguridad informática intrusiva y ofensiva.

NECESIDAD:



Componentes de un proyecto empresarial de Hacking:NECESIDAD:

Fuente: http://www.latarde.com/judicial/99-notas-judiciales/46519-capturan-presunto-hacker-que-infiltro-cuentas-del-periodista-daniel-samper.html

Hay que buscar mecanismos para minimizar los ataques informáticos

Anonymous

Lulzsec

ColombiaHackers

Pakistani Hackers

http://www.latarde.com/judicial/99-notas-judiciales/46519-capturan-presunto-hacker-que-infiltro-cuentas-del-periodista-daniel-samper.html






Componentes de un proyecto empresarial de Hacking:NECESIDAD:

Las armas, el medio y los soldados de guerra han cambiado.

http://en.wikipedia.org/wiki/Cyberwarfare

Cyberwarfare

http://en.wikipedia.org/wiki/Cyberwarfare



Componentes de un proyecto empresarial de Hacking:OPORTUNIDAD:“Oportunidad, es hacer algo o materializar una idea, que supla una necesidad en un momento indicado”La cultura frente a la seguridad de la información, y en general la protección de personales y los sistemas de información ,esta mejorando cada día, ya existe mas consciencia, y se hace mas tangible las necesidades de aseguramiento de los sistemas.

“Estamos en un buen momento para montar una empresa en seguridad de la Información”

Las situaciones, no se arregle por sí sola, sino que hay que adaptarse al cambio y buscar soluciones.



Fuente: http://www.elespectador.com/tecnologia/articulo-293484-gobierno-admite-debilidades-enfrentar-amenazas-ciberneticas

Componentes de un proyecto empresarial de Hacking:OPORTUNIDAD:

Fuente: http://www.dnp.gov.co/LinkClick.aspx?fileticket=-lf5n8mSOuM%3D&tabid=1260

http://www.elespectador.com/tecnologia/articulo-293484-gobierno-admite-debilidades-enfrentar-amenazas-ciberneticas

http://www.elespectador.com/tecnologia/articulo-293484-gobierno-admite-debilidades-enfrentar-amenazas-ciberneticas

http://www.dnp.gov.co/LinkClick.aspx?fileticket=-lf5n8mSOuM=&tabid=1260

http://www.dnp.gov.co/LinkClick.aspx?fileticket=-lf5n8mSOuM=&tabid=1260




http://www.cert.org.co/

Circular 052

http://www.cert.org.co/




Salario: $ 6.500.000

Salario: $ 5.000.000

Salario: $ 8.000.000

https://www.contratos.gov.co

https://www.contratos.gov.co/



Componentes de un proyecto empresarial de Hacking:INNOVACIÓN

Innovar, no necesariamente es crear, o inventar, innovar puede ser hacer algo que ya existe, pero con metodologías diferentes, con mejor orientación, y en especial hacerlo mejor, mas práctico, mas productivo.

La innovación, según el diccionario de la Real Academia Española, es la creación o modificación de un producto, y su introducción en un mercado.Innovar proviene del latín innovare, que significa acto o efecto de innovar, tornarse nuevo o renovar, introducir una novedad.http://es.wikipedia.org/wiki/Innovaci%C3%B3n

http://es.wikipedia.org/wiki/Innovaci%C3%B3n



Componentes de un proyecto empresarial de Hacking:EMPRENDEDOR

Fuente: Diario La República.



Componentes de un proyecto empresarial de Hacking:EMPRENDEDORPara montar empresa, se necesita tener o acoplarse a lo que se necesita para ser un emprendedor, un emprendedor en el área del Hacking y la seguridad debería de tener:

• Paciencia•Dedicación, muchísima de dedicación• Compromiso• Conocer el mercado y las necesidades de los clientes• Formación técnica, gerencial y en empresarismo• Visión• Vendedor• Líder• Trabajo en equipo y orientación por un equipo multidisciplinario



Componentes de un proyecto empresarial de Hacking:OFERTA/DEMANDA



Como formar una empresa de seguridad y Hacking Ético ---Experiencias con DSTEAM---

DSTEAM es una empresa resultante de una idea de un proyecto universitario en el 2005, para optar por el titulo en Ingeniero en Informática.

El comienzo de la empresa fue en el 2006 con la línea de negocios llamada defensa en profundidad, ofreciendo este servicio a las empresas como Consultor.

• Me devolvieron el proyecto 8 veces, todo por problemas de evaluación de proyectos, nada técnico, ya que el consultor no tenia idea de lo que le presentaba.

• Los primeros negocios de DSTEAM, fueron montajes de Firewalls VPN Server y cursos de implementación de UTM por un valor de $ 550.000.




En el 2007, 2008 DSTEAM comienza a realizar los primeros procesos de Pen testing, haciéndolos a sistemas de información con nodos conectados a sistemas convergentes con sistemas tipo SCADA, los cuales correspondían a empresas de servicios públicos en municipios de Antioquia y el Valle. Para ese entonces el Pentesting era gratuito, ya que era la entrada para la venta de Firewalls-VPN Server y UTM.

En esa fecha se cometía un gran error, yo hacia todo el trabajo, y una empresa legalmente constituida facturaba, quedándose con la mitad de lo facturado, ganando a largo plazo los cruces de impuestos, las referencias de los clientes, experiencias, entre otros.




Es Hora de Actuar: En el 2009 DSTEAM, se constituye legalmente como empresa S.A.S. Se estructura la empresa, así como todas sus líneas de negocio, además de que es seleccionada por CuidadE proyecto, de la Alcaldía de Medellín y Comfama, como empresa tecnológica prometedora, en donde DSTEAM ingresa a un año de acompañamiento en fortalecimiento empresarial.

Algunos de los Primeros Clientes como empresa constituida




En el 2010 y 2011 aquí vamos con DSTEAM: Se consiguen nuevos clientes a nivel de consultorías, servicios de Hacking ético, auditoria de sistemas, y defensa perimetral, atendiendo empresas importantes como:



Problemas encontrados durante la creación de DSTEAM, y en sus primeros años de operación.:• Clientes difíciles “El Ingeniero de sistemas que se cree Hacker”.

• Pactar reuniones con el personal de sistemas. Los que toman las decisiones en las empresas, son los gerentes y financieros, no los de T.I

• Hacer mercadeo buscando paginas con webs vulnerable y visitando los clientes donde se podía hacer algún tipo de intrusión “Que Gran Error”.

• Entregar informes y hacer socializaciones de auditorias intrusivas o montajes de arquitecturas de seguridad en un lenguaje altamente técnico.

• Contar en la competencia con Empresas tecnológicas toderas, que dentro de uno de sus productos ofrecen seguridad de la información.



Conclusiones y Recomendaciones.• El emprendimiento ayuda a formarnos como personas, y como profesionales: DSTEAM, me ha permitido costearme mis estudios de Posgrados y Maestría, Certificaciones, así como pagarle al Icetex, la deuda de la carrera de Ingeniera Informática.

• Buscar alianzas con proveedor de soluciones robustas de seguridad

• Armar un buen equipo interdisciplinario.

• Mantener el CORE del negocio, no volverse todero

Escuche que dijo “PenTesting!!!!,Le tengo lo que le hacia falta, el Pentesting de moda, que lo protege de Anonymous, LulzSec, Bla bla…..

A vender!!!



Conclusiones y Recomendaciones.

Procesos Personas

Productos



Gracias!!!!

barcamp_se versión 2- medellín

Documents