[HACK] Re: sobre precios y sueldos (yo sí doy datos :-))

[Roman Medina-Heigl Hernandez]

Para ir concluyendo ya...

Bernardo Quintero wrote:
>>Román, no estoy muy puesto en precios de SANA, pero lo que si se es que
>>a los clientes se les pide un inventario para crear su perfil, y en función del
>>mismo se calcula el precio. No se trata de ocultar el precio, es que no atiendes
>>a razones :) Vamos, lo mismo nunca hemos dado dos presupuestos iguales,
>>a no ser que hayan coincidido dos inventarios.

No es que yo no atienda a razones; es que has escrito un tocho de email
pero no he visto ni una sola cifra o dato con el que trates de
contestar a mi pregunta. A ver, ya se que puede haber diversos factores
y los precios ser variopintos, pero se trata de dar cifras estimativas
para distintos escenarios típicos, para que la gente se pueda hacer una
idea de qué estamos hablando. Podrías haber empezado por un rango (como
sugerí: min-max), e incluso haber dado 2 o 3 supuestos con escenarios
diferentes y con un precio aproximado cada uno, para que veamos por
donde van los tiros. Y lo de que no conoces los precios de SANA...
bueno, en este mismo hilo he visto posts de 3 integrantes de Hispasec,
no me creo que "nadie sepa nada" ni que, en el peor de los casos, no
puedas pegar una llamada de teléfono a tu colega que lleve la parte
comercial y que te los de.

Pero bueno, quiero ir cerrando el hilo... *con datos*... Así que he
hecho mis deberes y me he informado. A pesar de los "intentos de
ofuscación" de algunos, he aquí datos objetivos:

El siguiente enlace tiene fecha de publicación del 24/01/2005:
http://www.nwfusion.com/reviews/2005/012405revvuln.html?page=3

Se trata de una comparativa de los sistemas de alertas más
conocidos/usados, y aparte de tratar de convencer a la peña de las
"virtudes" de estos sistemas (que las tienen -no lo niego- pero que
siguen sin convencerme por el elevadísimo precio), incluyen precios.

Si os fijais, el conocido servicio de Symantec (Deepsight Alert
Services) tiene un precio *MINIMO* (repito, mínimo!! Literalmente "a
partir de") de $5000, lo cual viene a ser unos 3860 euros (aprox.
642.000 de las antiguas ptas). Alguna gente me ha dado también (en
privado) precios estimativos y más o menos coinciden en la cifra de los
_6000 euros_ (1 kilito de ptas, que se dice pronto), y que están acorde
con el dato del "a partir de $5000", que está por escrito en la
comparativa de sistemas de alertas. Estas personas/empresas prefieren
permanecer en el anonimato, lo cual yo respeto.

Si esto es "barato", que baje Dios y lo vea. Ahora comprendo pq
"algunos" no se atrevían a dar el dato (hasta la seguridad del mejor
ofuscador se acaba rompiendo jeje).

Completando el ejemplo que puso inicialmente Jcea (y que yo a su vez
maticé), comparando media hora al día de una persona de 30.000 euros,
con las alertas, obtenemos:

- Si la empresa elige pasar de alertas y que una persona realice la tarea:
30.000 euros * 0.5 / 8 = 1.875 euros anuales brutos
- Si la empresa contrata una sistema de alertas:
3860 euros

He comparado con el precio mínimo de las alertas, para que nadie me eche
a los perros, y aún así el coste de un sistema de alertas *DOBLA* a la
opción de "invertir en capital humano" :-) Si escogemos precios más
realistas, como el de los 6000 eurazos "sugeridos por varios listeros",
ya ni te cuento.

En cualquier caso, *esta es mi visión*, recabada tras hablar con mucha
gente y en última instancia, obtenida de los datos de que dispongo. Por
supuesto, que se puede matizar de muchas maneras, pero yo la veo así.
Respeto las opiniones de los que defiendan/compren un sistema de
alertas, sea por la razón que sea.

Llegado este punto, y a modo de "disclaimer" quiero aclarar que:
1) Yo simplemente dije al principio del hilo que los sistemas de alertas
no me convencían, que prefería invertir en personas cualificadas. Era (y
siempre ha sido) una *opinión personal*, que he tratado de
argumentar/defender, y nunca empecé  particularizando, ni mucho menos
refiriéndome a SANA/Hispasec, precisamente pq sabía que en la lista
había gente de esa empresa. Han sido otros los que han reconducido
hábilmente el tema hacia Hispasec. Incluso en algunas de mis respuestas
al principio del hilo, a párrafos donde fehacientemente se nombraba a
Hispasec, yo preferí referir la respuesta a "servicios de alertas"
(genéricamente), obviando el dato concreto de algún que otro párrafo. En
otras palabras, si se ha acabado particularizando no ha sido mi culpa ni
nunca ha sido mi intención.
2) No tengo nada personal en contra de Hispasec, Symantec, etc, aunque
*algunas* de las prácticas que éstas puedan hacer no las vea...
digamos... muy justas y/o éticas :-) (todo esto ya se ha tratado abierta
y sobradamente por aquí).
3) Mi crítica a "una-al-día", aparte de constructiva, fue una respuesta
sincera a una afirmación de jcea, en mi opinión, poco agraciada (por la
ambigüedad de la misma; tampoco voy a voler a entrar en discusión).

>>Por ejemplo, vamos a darle la vuelta a la tortilla, dime cuanto cobras por
>>una auditoría completa. Por supuesto, ni se te ocurra preguntar al cliente de
>>cuantos y que tipo de sistemas o servicios se trata, etc. Dame el precio ahora,
>>de lo contrario me estás ocultando el dato, y me daría mucho que pensar.
>>
>>¿Qué me dices?

Te digo que yo nunca te he pedido un "precio universal"; he hablado de
rangos, he hablado de estimaciones, he hablado de hacernos una idea de
por donde van los tiros; podías haber puesto ejemplos concretos,
cuantificándolos, etc, etc; en fin, si hubieras querido contestar te
aseguro que lo podrías haber hecho perfectamente. Y se ha visto que no
te has querido mojar. Punto.

Y ahora respondo a tu pregunta: nunca he cobrado por una auditoría, por
lo cual no dispongo de esa información (si la tuviera, tranquilo, que te
la daba, yo no necesito esconder datos, que no sean los puramente
personales). Pero si dispusiera del dato, evidentemente no te diría:
"precio universal: 6000 euros". ¡NO!. Te diría: "pues por ejemplo, por
un pen-test [no es lo mismo que una "auditoría"] a un sistema de banca
electrónica, de 2 días de duración, realizado por 1 persona full-time
especializada en hacking web, te cobro: 6000 euros". Y por uno de 1
semana, 12000. Los precios me los he inventado, no se si he dicho alguna
barbaridad, pero lo que quiero que se vea es que si te quieres mojar lo
puedes hacer perfectamente, dando datos (precio) en virtud de variables
cuantificables (en este caso, he jugado con las horas de trabajo de un
especialista, y he esbozado lo que sería las características del supuesto).

Por supuesto, una empresa te dará un project detallado, donde se vean
los recursos (las personas involucradas y en qué proporción de tiempo,
etc), junto al presupuesto. Tampoco pretendo llegar a ese detalle :-)

Ya que estamos, y con toda la gente que hay suscrita a esta lista en
relación al sector de la seguridad en España, seguro que hay más de un
manager por aquí... ¿os mojaríais a dar precios orientativos de
auditorías/pen-tests en España, como los soleis cuantificar, etc? Se que
es un tema delicado. Si hay gente que no se atreve a dar datos
públicamente me los podría mandar a mí en privado y yo hago un resúmen
en la lista donde se mantenga el anonimato de las fuentes.

¿Lo veis de interés? (a mí al menos me interesa). Ánimo, escribidme :-)

>>Dime cuanto cobras en tu empresa y cual es tu trabajo (supongo que no
>>tendrás ningún problema por dar el dato), si es desarrollo cuantas horas

Esto está fuera de lugar.  Preguntas a una persona por un dato tan
personal como su salario, y encima en una lista pública. Se te ha ido la
pinza, Bernardo :-)

Yo no tengo más que decir sobre los dichosos sistemas de alerta. Salvo
mención directa y expresa de mi persona, no replicaré más :-).

Las cartas están sobre la mesa. Es hora de recogerlas y terminar la partida.

Saludos,
-Román