Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Seguridad en startups: 7 cosas que tenés que s...

Agustin Celano
November 02, 2023
Technology
0
37

Seguridad en startups: 7 cosas que tenés que saber ()

Durante los últimos años han aparecido miles de startups tecnológicas en escena y muchas de ellas han reclutado gente de Argentina y Latam para armar su core desde 0, pero: ¿Qué cosas debería tener en cuenta si comienzo un rol de ciberseguridad en una Startup? En esta charla te cuento 7 cosas que aprendí de mi experiencia trabajando para una decena de ellas en diferentes roles y modalidades.

Agustin Celano

November 02, 2023
Tweet

More Decks by Agustin Celano

See All by Agustin Celano
Gestión de Findings en AWS: lo que sí, lo que no y algunas perlitas! (2023)
celagus
0
68
Event-driven Security Architecture (2022)
celagus
0
19
AppSec Vulnerability Management Pipelines (2020)
celagus
0
91
Ansible para DevSecops (2020)
celagus
1
110
Transición a DevSecOps (2020)
celagus
1
97

Other Decks in Technology

See All in Technology
偶有的複雑性と戦うためのアーキテクチャとチームトポロジー
knih
0
140
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.9k
Mastering Quickfix
daisuzu
1
360
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
1.1k
CDCL による厳密解法を採用した MILP ソルバー
imai448
3
350
SkiaとImpellerについて
moriya0130
0
160
TypeScript、上達の瞬間
sadnessojisan
49
14k
DynamoDB でスロットリングが発生したとき/when_throttling_occurs_in_dynamodb_short
emiki
0
310
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
660
あなたの知らない Function.prototype.toString() の世界
mizdra
PRO
4
2.1k
A Tour of Anti-patterns for Functional Programming
guvalif
0
1.4k
Taming you application's environments
salaboy
0
210

Featured

See All Featured
A Tale of Four Properties
chriscoyier
156
23k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Optimizing for Happiness
mojombo
376
70k
YesSQL, Process and Tooling at Scale
rocio
169
14k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
Building Adaptive Systems
keathley
38
2.3k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Designing the Hi-DPI Web
ddemaree
280
34k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Into the Great Unknown - MozCon
thekraken
33
1.5k

Transcript

  1. Seguridad en Startups: 7 cosas que tenés que saber

  2. 2 Hola Ekoparty! Agus Celano • DevSecOps enthusiast • Exp.

    Security Engineer • Community builder /celagus @agustincelano /in/agustincelano

  3. Motivación de esta charla 3 Ayudarte a configurar un mindset

    adecuado Evitarte errores que vi repetidas veces en diferentes compañías Ayudarte a empatizar: Con la organización Con el equipo de seguridad Señalarte algunas cosas que (IMO) deberían ser prioridad en el roadmap

  4. Contexto Entendamos de qué estamos hablando

  5. Compañía emergente que buscar desarrollar un producto o servicio innovador,

    frecuentemente basado en tecnología, que intenta resolver un problema en el mercado. Necesita moverse rápido para: 5 ¿Qué es una “startup”? • Validar su tesis en el mercado lo antes posible con un MVP • Desarrollar ventajas competitivas frente a sus competidores • Conseguir ser autosustentables antes de agotar su capital

  6. 6 Expectativa 👍

  7. 90% de las startups fracasan 💔 10-20% de los fracasos

    suceden durante el primer año (otra gran parte no supera sus primeros 5 años y casi ninguno supera los 10 años) 7 Realidad 👎 (*) https://findstack.com/resources/startup-statistics/

  8. Apetito por el riesgo Au$teridad Velocidad 8

  9. A lo que vinimo’... 7 cosas que deberías saber

  10. 10 1.Arrancar por un buen diagnóstico Sugerencia: Ponete del lado

    del atacante. ¿Qué buscarías explotar primero?

  11. Misconfigurations - Misconfig en infra / apps - Privilegios /

    Accesos - MFA / 2FA 11 Qué buscar primero?

  12. Supply-chain - Dependencias vulnerables - Imágenes de contenedor - Falta

    de parches en SO - Falta de parches en software de terceros 12 Qué buscar primero?

  13. Secretos ◦ Git commits ◦ En configs ◦ En parametros

    ◦ En states de terraform 13 Qué buscar primero?

  14. 14 2.Observabilidad Sugerencia 2: Recolectá logs/métricas en una instancia separada

    del resto de la infraestrutura Si tenés algo de presupuesto, invertilo en un buen SIEM Sugerencia 1: Recolectar y analizar logs/métricas te permite saber qué es lo que está pasando y actuar en consecuencia. “lo que no se puede medir no se puede gestionar”

  15. 15 Cloud Service Provider User Network Instance / VM Kubernetes

    / Orquestador Container App Computer Email Collaboration • Qué estoy observando? • Qué tipo de controles tengo? (P / D / R) • Cuáles es el gap de observabilidad? Data Capas de observabilidad

  16. 16 3.Evitar el overkill y la super customización Sugerencia: Buscar

    un ecosistema de herramientas equilibrado entre lo custom y lo adquirido Keep it simple.

  17. Como regla general 17 Costo I+D+infra desarrollo propio Si >

    TCO producto o servicio externo O Calidad I+D desarrollo propio Calidad I+D producto o servicio externo < Conviene adquirir =

  18. 18 4.Apoyarse en el cloud provider Sugerencia: Aprovechar las ventajas

    del modelo pay-as-you-go y la escalabilidad a demanda

  19. 19 Un ejemplo…

  20. 20 5.Shifting-left Security Sugerencia 2: Integrarse con los procesos y

    plataformas existentes mejora la adopción de la seguridad y reduce la fricción Sugerencia 1: Pensar la seguridad como un producto/servicio consumible por el resto de los equipos.

  21. 21 Algunos ejemplos self-service seguridad proactiva

  22. 22 6.Cultura de seguridad Sugerencia: Militar la seguridad desde todos

    los espacios posibles. “Security is everyone’s job”

  23. 23 Algunas ideas para llegar a toda la compañía Aprovechar

    las reuniones tipo all-hands para comunicar novedades y lo que pasa en la industria Aprovechar canales de comunicación diarios (Ej.: Slack) Trainings cortos con incentivos (reconocimientos, vouchers, etc)

  24. 24 7.Convencer con datos Sugerencia: Las recomendaciones tienen más fuerza

    cuando se las acompaña de información fehaciente y contundente. “dato mata relato”

  25. 25 Fuentes de información Reportes de vendors / organizaciones de

    la industria https://github.com/jacobdjwilson/awesome-annual-security-reports ( recomiendo ) Feeds y portales de noticias especializadas Twitter, Linkedin, Telegram, The Hacker News, SC Magazine, Techworm, etc Servicios de threat intelligence 💸

  26. ¡GRACIAS! /celagus @agustincelano /in/agustincelano