A la hora de contratar un analista de seguridad encontrará distintos perfiles; desde un estudiante de historia sin experiencia técnica formal, ingenieros informáticos con especialización en ciberseguridad, hasta personas con años de experiencia en SOC (Centros de Operaciones de Ciberseguridad) y pentesting. Pero, ¿a cuál contratar? Keatron Evans, investigador principal de InfoSec, lo tiene claro tras hacer las preguntas correctas: el estudiante de historia obtiene el trabajo. Cuenta con las capacidades más valoradas; habilidades de resolución de problemas, curiosidad, deseo de aprender y una pasión innata por la ciberseguridad.
La demanda de este puesto está más alta que nunca. La Oficina de Estadísticas Laborales de Estados Unidos proyecta que crecerá un 31% en la próxima década. Por ello, las siguientes preguntas en una entrevista le ayudarán a mantenerse a la vanguardia y a asegurar que ha contratado a un buen analista de seguridad.
¿Qué es TCP?
La forma en que alguien habla sobre temas como el protocolo de enlace de tres vías o el estándar de comunicaciones TCP puede revelar mucho sobre su comprensión sobre los fundamentos de seguridad. Por ejemplo, en el caso de Evans, la candidata sin experiencia habló de TCP no solo como si lo hubiera estudiado en un libro de texto, sino como si lo dominase en un entorno informático. “Aunque tenía menos experiencia que el resto de candidatos, respondió como si fuera la autora de los protocolos en cuestión”.
Otros conceptos básicos incluyen distinguir entre cifrado simétrico y asimétrico y describir dónde se utilizaría mejor cada uno, las anomalías que indican un sistema comprometido o cómo lidiar con un ataque de intermediario.
¿Cómo gestionaría una brecha de datos?
Lo que realmente sorprendió a Evans fue cómo la candidata que entrevistó resolvió un escenario técnico que requería responder a 10 preguntas sobre el manejo de una brecha de datos. El ejercicio involucraba a dos computadoras; una conectada al entorno de laboratorio basado en nube para realizar las tareas y la otra conectada a Internet para buscar la información necesaria, como detalles actualizados sobre un exploit reciente. “Utilizó el equipo de investigación con maestría, mientras que las personas más experimentadas ni siquiera se molestaron en tocarlo. Por esa razón, la mayoría de ellos se perdió las dos últimas preguntas que debían responderse al revisar los paquetes y volcados de memoria”, dijo.
¿Cómo clasificaría las alertas?
Alternativamente, se puede explorar un escenario de infracción de forma conversacional. Este enfoque más interactivo puede resaltar cómo piensa, se comunica y colabora el candidato. Los entrevistadores también pueden adaptar las preguntas a medida que avanzan para adaptarse a la experiencia del entrevistado. Sin embargo, primero es importante establecer una atmósfera cómoda. Es por eso que Dom Glavach, director de Seguridad de CyberSN, comienza preguntando sobre una infracción popularmente conocida como la del ataque a SolarWinds en términos de indicadores de compromiso, lecciones aprendidas o la metodología de ataque utilizada. “Incluso si no están familiarizados con el caso, pueden tardar solo unos segundos en hacer una búsqueda”. Esto refleja la realidad en el trabajo de que los analistas no deben ser juzgados por su conocimiento inmediato, sino por su capacidad para evaluar rápidamente el riesgo y hablar sobre soluciones.
¿Cuál es el primer movimiento después de recibir nuevos datos sobre inteligencia de amenazas?
Otro enfoque basado en escenarios pasa por el primer movimiento que haría el candidato cuando recibe una nueva pieza de inteligencia de amenazas o un aviso sobre una vulnerabilidad recién descubierta en un sistema o dispositivo. Para Peter Gregory, director senior de Ciberseguridad de GCI Communication, la respuesta debería centrarse en saber si la amenaza es relevante para la organización, “lo que apunta de inmediato a la necesidad de una gestión de activos eficaz para que los analistas de seguridad puedan obtener rápidamente la respuesta”, dijo. Esta pregunta, según Evans, gira en torno a qué hacer cuando una violación de datos ha comprometido una máquina específica. Un candidato con menos experiencia podría sugerir apagar la máquina y hacer una copia del disco duro. Alguien con más experiencia se concentraría en realizar diagnósticos de memoria adecuados, porque la mayoría de los atacantes no escriben en el disco duro, así como en el análisis de paquetes de red para determinar el origen de la infracción.
Otra buena respuesta sería la importancia de alinearse con las políticas de respuesta a incidentes vigentes o tener un diagrama de red preciso que represente dónde se encuentran los sistemas y dispositivos clave.
¿La ciberseguridad es su trabajo o su estilo de vida?
Para aquellos que destacan en ciberseguridad, su interés en el tema es una pasión que impregna su vida cotidiana. Para saber si es el caso, se puede preguntar sobre la configuración de la red doméstica de los candidatos; si utilizan WPA2 frente a WPA y WEP y si configuran una red separada para cuando los invitados usan su red. También se puede preguntar a qué conferencias de ciberseguridad les gustaría asistir y por qué, así como la participación en otros eventos y actividades de ciberseguridad.
¿Puedes completar una oración sin usar una palabra de moda?
Los analistas de seguridad exitosos son también personas capaces de hablar tanto desde una perspectiva tecnológica como empresarial. “Necesitan poder tener una conversación con un ejecutivo de negocios sin usar un solo acrónimo de TI o seguridad o una palabra de moda y expresarse fácilmente en términos comerciales”, dijo Gregory. Para explicar la importancia de la gestión de activos a un director financiero, por ejemplo, un analista podría decir: “si supiéramos lo que tenemos, podríamos dedicar menos tiempo a averiguarlo cuando aparece una nueva amenaza y más tiempo a proteger el negocio”.
¿Qué puedes decir sobre la inteligencia artificial (IA)?
Frente a un panorama de amenazas dinámico y tecnologías emergentes, tanto en el lado defensivo como ofensivo, los analistas de seguridad deben ser naturalmente curiosos y estar siempre dispuestos a aprender más. Se recomienda preguntar a los candidatos qué saben sobre IA y cómo se utiliza tanto en la dark web como para automatizar la detección de amenazas.
¿Cómo habrías manejado el ataque a Colonial Pipeline?
La ciberseguridad es tanto un arte como una ciencia, por lo que los mejores empleados son pensadores creativos que no están estancados en su cargo. Una excelente manera de evaluar su nivel de innovación es preguntar qué habría hecho de manera diferente al enfrentarse al ataque de Colonial Pipeline. Da una idea de lo disruptivas que son sus ideas.
-IDG.es