Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Seguridad en startups: 7 cosas que tenés que s...

Seguridad en startups: 7 cosas que tenés que saber ()

Durante los últimos años han aparecido miles de startups tecnológicas en escena y muchas de ellas han reclutado gente de Argentina y Latam para armar su core desde 0, pero: ¿Qué cosas debería tener en cuenta si comienzo un rol de ciberseguridad en una Startup? En esta charla te cuento 7 cosas que aprendí de mi experiencia trabajando para una decena de ellas en diferentes roles y modalidades.

Agustin Celano

November 02, 2023
Tweet

More Decks by Agustin Celano

Other Decks in Technology

Transcript

  1. 2 Hola Ekoparty! Agus Celano • DevSecOps enthusiast • Exp.

    Security Engineer • Community builder /celagus @agustincelano /in/agustincelano
  2. Motivación de esta charla 3 Ayudarte a configurar un mindset

    adecuado Evitarte errores que vi repetidas veces en diferentes compañías Ayudarte a empatizar: Con la organización Con el equipo de seguridad Señalarte algunas cosas que (IMO) deberían ser prioridad en el roadmap
  3. Compañía emergente que buscar desarrollar un producto o servicio innovador,

    frecuentemente basado en tecnología, que intenta resolver un problema en el mercado. Necesita moverse rápido para: 5 ¿Qué es una “startup”? • Validar su tesis en el mercado lo antes posible con un MVP • Desarrollar ventajas competitivas frente a sus competidores • Conseguir ser autosustentables antes de agotar su capital
  4. 90% de las startups fracasan 💔 10-20% de los fracasos

    suceden durante el primer año (otra gran parte no supera sus primeros 5 años y casi ninguno supera los 10 años) 7 Realidad 👎 (*) https://findstack.com/resources/startup-statistics/
  5. 10 1.Arrancar por un buen diagnóstico Sugerencia: Ponete del lado

    del atacante. ¿Qué buscarías explotar primero?
  6. Misconfigurations - Misconfig en infra / apps - Privilegios /

    Accesos - MFA / 2FA 11 Qué buscar primero?
  7. Supply-chain - Dependencias vulnerables - Imágenes de contenedor - Falta

    de parches en SO - Falta de parches en software de terceros 12 Qué buscar primero?
  8. Secretos ◦ Git commits ◦ En configs ◦ En parametros

    ◦ En states de terraform 13 Qué buscar primero?
  9. 14 2.Observabilidad Sugerencia 2: Recolectá logs/métricas en una instancia separada

    del resto de la infraestrutura Si tenés algo de presupuesto, invertilo en un buen SIEM Sugerencia 1: Recolectar y analizar logs/métricas te permite saber qué es lo que está pasando y actuar en consecuencia. “lo que no se puede medir no se puede gestionar”
  10. 15 Cloud Service Provider User Network Instance / VM Kubernetes

    / Orquestador Container App Computer Email Collaboration • Qué estoy observando? • Qué tipo de controles tengo? (P / D / R) • Cuáles es el gap de observabilidad? Data Capas de observabilidad
  11. 16 3.Evitar el overkill y la super customización Sugerencia: Buscar

    un ecosistema de herramientas equilibrado entre lo custom y lo adquirido Keep it simple.
  12. Como regla general 17 Costo I+D+infra desarrollo propio Si >

    TCO producto o servicio externo O Calidad I+D desarrollo propio Calidad I+D producto o servicio externo < Conviene adquirir =
  13. 18 4.Apoyarse en el cloud provider Sugerencia: Aprovechar las ventajas

    del modelo pay-as-you-go y la escalabilidad a demanda
  14. 20 5.Shifting-left Security Sugerencia 2: Integrarse con los procesos y

    plataformas existentes mejora la adopción de la seguridad y reduce la fricción Sugerencia 1: Pensar la seguridad como un producto/servicio consumible por el resto de los equipos.
  15. 22 6.Cultura de seguridad Sugerencia: Militar la seguridad desde todos

    los espacios posibles. “Security is everyone’s job”
  16. 23 Algunas ideas para llegar a toda la compañía Aprovechar

    las reuniones tipo all-hands para comunicar novedades y lo que pasa en la industria Aprovechar canales de comunicación diarios (Ej.: Slack) Trainings cortos con incentivos (reconocimientos, vouchers, etc)
  17. 24 7.Convencer con datos Sugerencia: Las recomendaciones tienen más fuerza

    cuando se las acompaña de información fehaciente y contundente. “dato mata relato”
  18. 25 Fuentes de información Reportes de vendors / organizaciones de

    la industria https://github.com/jacobdjwilson/awesome-annual-security-reports ( recomiendo ) Feeds y portales de noticias especializadas Twitter, Linkedin, Telegram, The Hacker News, SC Magazine, Techworm, etc Servicios de threat intelligence 💸