Si necesito contratar a examinadores de penetración, ¿cuáles son los procedimientos a seguir y cómo examinar a los candidatos para conocer sus habilidades y calificaciones?
También necesito saber cuáles son los exámenes / certificados que debo buscar en el empleado y para mí.
Si no tiene experiencia con la contratación de "piratas informáticos", parece que desea estar más seguro, pero que aún no tiene la mayor necesidad. Consideraría trabajar con una firma consultora de renombre en algunos compromisos pequeños. Vea cómo hacen sus evaluaciones y qué tipo de entregables proporcionan. Cuestione todo lo que hacen, y cada informe que le dan, cada hallazgo. Si bien inicialmente los contratará para sus servicios, lo que obtendrá a largo plazo es su metodología, estilo, etc. Asegúrese de interactuar con los examinadores de bolígrafos reales. Para algunas grandes empresas, lo subcontratan en el extranjero y solo ponen a los empleados locales frente a usted para explicar los hallazgos. Intente insistir en que los evaluadores locales vengan al sitio. Es poco probable que pueda robar a los consultores que trabajan para las cláusulas de no competencia en su contrato, pero es posible que tengan amigos, etc. Elija sus cerebros todo lo que pueda.
Otra opción sería encontrar reuniones locales para ISSA, ISACA, o más manos en grupos de seguridad como los que se separan de b-sides (por ejemplo, BurbSec de Chicago ). A menudo hay personas en este tipo de eventos que buscan trabajo o que conocen a alguien a quien recomiendan.
Yo personalmente pongo un valor bajo en certificados. Hay un buen número de "trajes" más como piratas informáticos que los persiguen, pero la mayoría de ellos son solo pruebas. Desea evaluar a la persona y su conocimiento, lo que puede ser difícil si usted mismo no tiene antecedentes de hacker. Es posible que desee probar un cazador de cabezas, pero los cazadores de cabezas son vendedores y no son una buena opción para todas las empresas. En términos de certificados, uno de los mejores es el Certificado de seguridad ofensiva Profesional porque es una certificación práctica, y quieren que sea difícil de aprobar; También tienen un buen enfoque en la documentación. La comunicación y la documentación son, en última instancia, tan importantes como encontrar problemas de seguridad. Es posible que desee ver si tienen un CISA o CISSP, pero hay muchas personas con esas certificaciones que no son prácticas o no se enfocan en esa área. Hay algunas otras cosas como Hacker ético certificado y Security+ , y GIAC tiene una serie de certificados más especializados GPEN y GWAPT que puede ser útil. En última instancia, los certificados son una consideración, pero usted desea evaluar el conocimiento del individuo: puede haber un muy buen examinador de bolígrafos que nunca se molestó en gastar el tiempo y el dinero, mientras que en una pregunta solo se prueba a alguien que estudió bien. >
Además, al contratar piratas informáticos o analizadores de lápiz, recomiendo encarecidamente consultar los antecedentes, los controles criminales, etc. El servicio militar y las autorizaciones gubernamentales (activas o caducadas) también pueden ser consideraciones.
También puede hacer una pregunta en Workplace.SE sobre la contratación de especialistas técnicos y la contratación de personas fuera de su área de especialización. .
Su necesidad de contratar un probador de penetración dependerá de su empresa y del tipo de trabajo. En algunos casos, se requerirá (por ejemplo, si procesa pagos con tarjeta de crédito, las pruebas con bolígrafo deben realizarse con regularidad). Sin embargo, si forma parte de una organización pequeña que realiza la fabricación de activos no críticos, es posible que una prueba de pluma no sea el mejor lugar para gastar su presupuesto de seguridad. También puede que no sea necesario contratar a un examinador de pruebas a tiempo completo, sino contratar a un asesor anual que revise la red.
Cuando contrata a alguien para un trabajo de prueba de pluma, debe examinar varias cosas:
Esto es además del proceso de entrevista normal para cualquier recurso.
Sugeriría ver estos enlaces para obtener información más completa:
Además, un pregunta relacionada (desde la vista de un solicitante)
Lea otras preguntas en las etiquetas penetration-test career certification