it-swarm-es.com

¿Qué debo preguntarle a un posible consultor de seguridad?

¿Qué debo preguntarle a un consultor de seguridad para ver si son legítimos o no?

Estoy buscando contratar a alguien para que realice una evaluación, pero primero me gustaría asegurarme de que alguien tenga buena reputación.

11
SLY

Pedir referencias es un comienzo razonable.

Otro indicador crudo es su visibilidad y trayectoria en conferencias bien consideradas. Si son ponentes en Blackhat, RSA Security conference, WOOT, etc., suele ser una buena señal. (Pero la falta de este tipo de visibilidad no significa necesariamente que no estén calificados. Este es un indicador muy burdo, en el mejor de los casos).

También puede consultar su historial de informes de vulnerabilidad divulgados, documentos técnicos, etc.

No prestaría demasiada atención a las certificaciones. Si su credencial principal o única es CISSP o una certificación similar, es probable que obtenga una persona de bajo nivel. El valor de una certificación dependerá de la certificación en particular y del tipo de trabajo que busca que realice el consultor.

Para obtener más detalles sobre qué leer sobre las certificaciones y su reputación, consulte los siguientes hilos: Certificaciones profesionales para seguridad de TI ; Certificaciones de seguridad web ; Certificación pentester internacional ; ¿Cuáles son los cursos de certificación básicos para principiantes? ; ¿Qué tan útil es CISSP para un recién graduado? ; CEH o GIAC - ¿Cuál debo seguir? ; ¿La preparación para CCNA agregaría "significativamente" a mi conocimiento como probador de penetración? .

5
D.W.

Invente un escenario similar al en el que desea que trabajen y haga que le expliquen cómo lo abordarían. Le conviene evaluar su capacidad para comprender las necesidades de su empresa, así como su comprensión técnica. El factor clave sería si hacen las preguntas correctas y le dan las respuestas correctas.

Por ejemplo, es posible que desee que alguien evalúe su infraestructura de comercio electrónico, por lo que su escenario podría comenzar con la pregunta:

  1. "Queremos crear un nuevo sitio web, ¿cómo deberíamos protegerlo?"

Un buen candidato comenzaría a preguntar inmediatamente sobre los datos involucrados y el nivel de riesgo que está dispuesto a tolerar. Un mal candidato se volvería inmediatamente proscriptivo.

Si responden eso a su satisfacción, o le extraen la información, puede expandirla a:

  1. El sitio web contendrá un carrito de compras. ¿Cómo debemos asegurar eso?

... etc. Idealmente, en este escenario, tendría un candidato que se ocupara de cuestiones más amplias que solo TI: las políticas, los procedimientos, la capacitación del personal, las copias de seguridad y la seguridad de las copias de seguridad juegan un papel importante, así como los firewalls e IPS.

9
John

Si no tiene a nadie disponible para desafiar su experiencia técnica, entonces diría que siga la ruta de las referencias del cliente. Solicite referencias, preferiblemente de clientes en los que hayan realizado un trabajo similar.

7
Tate Hansen

Referencias, referencias y más referencias. De empresas cercanas a su tamaño. Debe llamar a la referencia y preguntar cómo le fue al consultor. Pregúnteles si leyeron sus políticas y procedimientos existentes y si hicieron sugerencias para mejorar. Como si sugirieran las mejores prácticas de la industria. Que el consultor tenga un papel de orador en una conferencia no influye en absoluto en si puede hacer el trabajo. Si se han presentado en conferencias o libros escritos, siempre debe pedir su libro o diapositivas o una grabación de la charla y revisarlos para ver si hacen referencia a clientes anteriores. Lo último que desea es que hablen de su empresa (incluso de forma anónima) en la próxima conferencia.

4
OhBrian